Defaults.Exposed

Defaults.Exposed › Reporty

Vysvedčenie bezpečnostných hlavičiek HTTP: Ako web obstál v roku 2026

Publikované 2026-06-29

Údaje k 2026-06-29 · metodológia v7. Agregované údaje sčítania naprieč 261 miliónmi ohodnotených domén. Kontroly hlavičiek sú pozorované na odpovediach, ku ktorým sme sa dostali. Pozrite si ako hodnotíme.

Bezpečnostné HTTP hlavičky patria medzi najlacnejšie obrany na webe — niekoľko riadkov konfigurácie, bez nákladov — a údaje ukazujú, že sa takmer všeobecne vynechávajú. Naprieč 261 miliónmi domén iba 4.03% správne nastavuje každú základnú hlavičku. Každá hlavička blokuje konkrétny, reálny útok — clickjacking, vkladanie obsahu, zníženie protokolu, únik referrera — a každá chýba na veľkej väčšine stránok.

Vysvedčenie

Vyššie je lepšie — podiel domén, ktoré správne nastavujú každú hlavičku. K 2026-06-29:

HlavičkaČo zastavíDomény, ktoré ju nastavujú
HSTS (Strict-Transport-Security)Zníženie z HTTPS na HTTP22.91% stránok HTTPS
Content-Security-PolicyCross-site scripting / vkladanie obsahu8.87%
X-Frame-Options / frame-ancestorsClickjacking14.48%
X-Content-Type-Options (nosniff)Útoky na zmätenie typu MIME16.65%
Referrer-PolicyÚnik URL návštevníkov tretím stranám10.10%
Všetko vyššie uvedené („bezpečné v predvolenom nastavení”)Celá sada4.03%

Content-Security-Policy — najsilnejšia obrana proti cross-site scriptingu — je hlavným zlyhaním: iba 8.87% domén nasadzuje účinnú. A iba 4.03% nastavuje celú sadu správne.

Prečo tak málo, keď sú zadarmo?

Hlavičky nie sú vo väčšine serverov a platforiem nainštalované v predvolenom nastavení, takže sa objavia iba vtedy, keď ich niekto úmyselne pridá. Za ich chýbanie neexistuje žiadne desivé varovanie — na rozdiel od expirovaného certifikátu je chýbajúca hlavička neviditeľná pre vlastníka stránky aj pre návštevníkov, až do okamihu, keď je zneužitá. Práve táto neviditeľnosť je dôvodom, prečo prijatie zostáva v jednociferných číslach pre hlavičky, na ktorých najviac záleží.

Ktoré hlavičky by som mal uprednostniť?

Pre väčšinu stránok, v poradí:

  1. HSTS — keď ste na HTTPS, zamknite to. Opraviť HSTS.
  2. Ochrana proti clickjackingu — jednoriadková hlavička, ktorá zabráni vkladaniu vašich stránok do rámca. Opraviť clickjacking.
  3. X-Content-Type-Options: nosniff a Referrer-Policy — triviálne na pridanie. MIME-sniffing · Referrer-Policy.
  4. Content-Security-Policy — najmocnejšia a najprácnejšia; oplatí sa urobiť starostlivo. Opraviť CSP.

Často kladené otázky

Čo sú bezpečnostné HTTP hlavičky? Pokyny, ktoré server posiela s každou stránkou a hovoria prehliadaču, aby vynútil ochrany — zablokoval rámovanie, odmietol zmiešaný obsah, obmedzil skripty. Sú to bezplatná konfigurácia, nie softvér.

Prečo ich všetky nastavuje iba 4.03% webu? Pretože sú dobrovoľné a neviditeľné. Keď chýbajú, nič sa nepokazí ani nevaruje, takže väčšina stránok ich nikdy nepridá — kým útok nezneužije medzeru.

Ktorá hlavička je najdôležitejšia? HSTS a Content-Security-Policy poskytujú najväčšiu ochranu. CSP je najsilnejšia obrana proti cross-site scriptingu, ale jej nasadenie si vyžaduje najväčšiu starostlivosť.

Ako zistím, ktoré hlavičky mojej stránke chýbajú? Spustite bezplatnú, súkromnú kontrolu (nižšie) — vypíše každú hlavičku a či ste ju nastavili.

Skontrolujte si bezpečnostné hlavičky zadarmo

Pozrite si úplné vysvedčenie svojich hlavičiek — a presne čo pridať — súkromne a iba pre vlastníka.

Skontrolujte svoju doménu → · Opraviť CSP → · Opraviť HSTS → · Ako hodnotíme → · Iba agregované údaje. Údaje uložené a spracované v EÚ.