Defaults.Exposed › Отчёты
Табель успеваемости по HTTP-заголовкам безопасности: как веб успевает в 2026 году
Опубликовано 2026-06-29
Данные по состоянию на 2026-06-29 · методология v7. Агрегированные данные переписи по 261 миллионам оценённых доменов. Проверки заголовков выполнены по ответам, которые нам удалось получить. См. как мы оцениваем.
HTTP-заголовки безопасности — одни из самых дешёвых средств защиты в вебе: несколько строк конфигурации, без затрат, — и данные показывают, что их почти повсеместно пропускают. На 261 миллионах доменов лишь 4,03% правильно устанавливают каждый ключевой заголовок. Каждый заголовок блокирует конкретную, реальную атаку — кликджекинг, внедрение контента, понижение протокола, утечку реферера — и каждый отсутствует у подавляющего большинства сайтов.
Табель успеваемости
Чем выше, тем лучше — доля доменов, которые правильно устанавливают каждый заголовок. По состоянию на 2026-06-29:
| Заголовок | Что он останавливает | Доля доменов, где он установлен |
|---|---|---|
| HSTS (Strict-Transport-Security) | Понижение с HTTPS до HTTP | 22,91% сайтов HTTPS |
| Content-Security-Policy | Межсайтовый скриптинг / внедрение контента | 8,87% |
| X-Frame-Options / frame-ancestors | Кликджекинг | 14,48% |
| X-Content-Type-Options (nosniff) | Атаки на путаницу MIME-типов | 16,65% |
| Referrer-Policy | Утечка URL посетителя третьим сторонам | 10,10% |
| Всё вышеперечисленное («безопасно по умолчанию») | Полный набор | 4,03% |
Content-Security-Policy — самая сильная защита от межсайтового скриптинга — это главный провал: лишь 8,87% доменов отдают эффективную политику. И только 4,03% правильно настраивают весь набор.
Почему так мало, если они бесплатны?
Большинство серверов и платформ не устанавливают заголовки по умолчанию, поэтому они появляются только тогда, когда кто-то намеренно их добавляет. Нет пугающего предупреждения об их отсутствии — в отличие от просроченного сертификата, отсутствующий заголовок невидим для владельца сайта и для посетителей вплоть до момента эксплуатации. Именно эта невидимость и есть причина, по которой внедрение остаётся на уровне единиц процентов для самых важных заголовков.
Какие заголовки стоит приоритизировать?
Для большинства сайтов, по порядку:
- HSTS — как только вы перешли на HTTPS, закрепите это. Исправить HSTS.
- Защита от кликджекинга — однострочный заголовок, который не даёт встраивать ваши страницы во фреймы. Исправить кликджекинг.
- X-Content-Type-Options: nosniff и Referrer-Policy — добавляются элементарно. MIME-sniffing · Referrer-Policy.
- Content-Security-Policy — самый мощный и самый трудоёмкий; стоит делать тщательно. Исправить CSP.
Часто задаваемые вопросы
Что такое HTTP-заголовки безопасности? Инструкции, которые сервер отправляет с каждой страницей и которые предписывают браузеру применять средства защиты — блокировать фрейминг, отклонять смешанный контент, ограничивать скрипты. Это бесплатная конфигурация, а не программное обеспечение.
Почему лишь 4,03% веба устанавливают их все? Потому что они опциональны и невидимы. Ничто не ломается и не предупреждает, когда их нет, поэтому большинство сайтов так и не добавляют их — пока атака не воспользуется этой брешью.
Какой заголовок самый важный? HSTS и Content-Security-Policy дают наибольшую защиту. CSP — самая сильная защита от межсайтового скриптинга, но требует наибольшей аккуратности при развёртывании.
Как узнать, каких заголовков не хватает на моём сайте? Запустите бесплатную приватную проверку (ниже) — она перечислит каждый заголовок и установлен ли он у вас.
Проверьте свои заголовки безопасности бесплатно
Посмотрите полный табель ваших заголовков — и то, что именно нужно добавить — приватно и только для владельца.
Проверьте свой домен → · Исправить CSP → · Исправить HSTS → · Как мы оцениваем → · Только агрегированные данные. Данные хранятся и обрабатываются в ЕС.