Defaults.Exposed

Defaults.Exposed › Отчёты

Табель успеваемости по HTTP-заголовкам безопасности: как веб успевает в 2026 году

Опубликовано 2026-06-29

Данные по состоянию на 2026-06-29 · методология v7. Агрегированные данные переписи по 261 миллионам оценённых доменов. Проверки заголовков выполнены по ответам, которые нам удалось получить. См. как мы оцениваем.

HTTP-заголовки безопасности — одни из самых дешёвых средств защиты в вебе: несколько строк конфигурации, без затрат, — и данные показывают, что их почти повсеместно пропускают. На 261 миллионах доменов лишь 4,03% правильно устанавливают каждый ключевой заголовок. Каждый заголовок блокирует конкретную, реальную атаку — кликджекинг, внедрение контента, понижение протокола, утечку реферера — и каждый отсутствует у подавляющего большинства сайтов.

Табель успеваемости

Чем выше, тем лучше — доля доменов, которые правильно устанавливают каждый заголовок. По состоянию на 2026-06-29:

ЗаголовокЧто он останавливаетДоля доменов, где он установлен
HSTS (Strict-Transport-Security)Понижение с HTTPS до HTTP22,91% сайтов HTTPS
Content-Security-PolicyМежсайтовый скриптинг / внедрение контента8,87%
X-Frame-Options / frame-ancestorsКликджекинг14,48%
X-Content-Type-Options (nosniff)Атаки на путаницу MIME-типов16,65%
Referrer-PolicyУтечка URL посетителя третьим сторонам10,10%
Всё вышеперечисленное («безопасно по умолчанию»)Полный набор4,03%

Content-Security-Policy — самая сильная защита от межсайтового скриптинга — это главный провал: лишь 8,87% доменов отдают эффективную политику. И только 4,03% правильно настраивают весь набор.

Почему так мало, если они бесплатны?

Большинство серверов и платформ не устанавливают заголовки по умолчанию, поэтому они появляются только тогда, когда кто-то намеренно их добавляет. Нет пугающего предупреждения об их отсутствии — в отличие от просроченного сертификата, отсутствующий заголовок невидим для владельца сайта и для посетителей вплоть до момента эксплуатации. Именно эта невидимость и есть причина, по которой внедрение остаётся на уровне единиц процентов для самых важных заголовков.

Какие заголовки стоит приоритизировать?

Для большинства сайтов, по порядку:

  1. HSTS — как только вы перешли на HTTPS, закрепите это. Исправить HSTS.
  2. Защита от кликджекинга — однострочный заголовок, который не даёт встраивать ваши страницы во фреймы. Исправить кликджекинг.
  3. X-Content-Type-Options: nosniff и Referrer-Policy — добавляются элементарно. MIME-sniffing · Referrer-Policy.
  4. Content-Security-Policy — самый мощный и самый трудоёмкий; стоит делать тщательно. Исправить CSP.

Часто задаваемые вопросы

Что такое HTTP-заголовки безопасности? Инструкции, которые сервер отправляет с каждой страницей и которые предписывают браузеру применять средства защиты — блокировать фрейминг, отклонять смешанный контент, ограничивать скрипты. Это бесплатная конфигурация, а не программное обеспечение.

Почему лишь 4,03% веба устанавливают их все? Потому что они опциональны и невидимы. Ничто не ломается и не предупреждает, когда их нет, поэтому большинство сайтов так и не добавляют их — пока атака не воспользуется этой брешью.

Какой заголовок самый важный? HSTS и Content-Security-Policy дают наибольшую защиту. CSP — самая сильная защита от межсайтового скриптинга, но требует наибольшей аккуратности при развёртывании.

Как узнать, каких заголовков не хватает на моём сайте? Запустите бесплатную приватную проверку (ниже) — она перечислит каждый заголовок и установлен ли он у вас.

Проверьте свои заголовки безопасности бесплатно

Посмотрите полный табель ваших заголовков — и то, что именно нужно добавить — приватно и только для владельца.

Проверьте свой домен → · Исправить CSP → · Исправить HSTS → · Как мы оцениваем → · Только агрегированные данные. Данные хранятся и обрабатываются в ЕС.