Defaults.Exposed › Reporty
Vysvedčenie bezpečnostných hlavičiek HTTP: Ako web obstál v roku 2026
Publikované 2026-06-29
Údaje k 2026-06-29 · metodológia v7. Agregované údaje sčítania naprieč 261 miliónmi ohodnotených domén. Kontroly hlavičiek sú pozorované na odpovediach, ku ktorým sme sa dostali. Pozrite si ako hodnotíme.
Bezpečnostné HTTP hlavičky patria medzi najlacnejšie obrany na webe — niekoľko riadkov konfigurácie, bez nákladov — a údaje ukazujú, že sa takmer všeobecne vynechávajú. Naprieč 261 miliónmi domén iba 4.03% správne nastavuje každú základnú hlavičku. Každá hlavička blokuje konkrétny, reálny útok — clickjacking, vkladanie obsahu, zníženie protokolu, únik referrera — a každá chýba na veľkej väčšine stránok.
Vysvedčenie
Vyššie je lepšie — podiel domén, ktoré správne nastavujú každú hlavičku. K 2026-06-29:
| Hlavička | Čo zastaví | Domény, ktoré ju nastavujú |
|---|---|---|
| HSTS (Strict-Transport-Security) | Zníženie z HTTPS na HTTP | 22.91% stránok HTTPS |
| Content-Security-Policy | Cross-site scripting / vkladanie obsahu | 8.87% |
| X-Frame-Options / frame-ancestors | Clickjacking | 14.48% |
| X-Content-Type-Options (nosniff) | Útoky na zmätenie typu MIME | 16.65% |
| Referrer-Policy | Únik URL návštevníkov tretím stranám | 10.10% |
| Všetko vyššie uvedené („bezpečné v predvolenom nastavení”) | Celá sada | 4.03% |
Content-Security-Policy — najsilnejšia obrana proti cross-site scriptingu — je hlavným zlyhaním: iba 8.87% domén nasadzuje účinnú. A iba 4.03% nastavuje celú sadu správne.
Prečo tak málo, keď sú zadarmo?
Hlavičky nie sú vo väčšine serverov a platforiem nainštalované v predvolenom nastavení, takže sa objavia iba vtedy, keď ich niekto úmyselne pridá. Za ich chýbanie neexistuje žiadne desivé varovanie — na rozdiel od expirovaného certifikátu je chýbajúca hlavička neviditeľná pre vlastníka stránky aj pre návštevníkov, až do okamihu, keď je zneužitá. Práve táto neviditeľnosť je dôvodom, prečo prijatie zostáva v jednociferných číslach pre hlavičky, na ktorých najviac záleží.
Ktoré hlavičky by som mal uprednostniť?
Pre väčšinu stránok, v poradí:
- HSTS — keď ste na HTTPS, zamknite to. Opraviť HSTS.
- Ochrana proti clickjackingu — jednoriadková hlavička, ktorá zabráni vkladaniu vašich stránok do rámca. Opraviť clickjacking.
- X-Content-Type-Options: nosniff a Referrer-Policy — triviálne na pridanie. MIME-sniffing · Referrer-Policy.
- Content-Security-Policy — najmocnejšia a najprácnejšia; oplatí sa urobiť starostlivo. Opraviť CSP.
Často kladené otázky
Čo sú bezpečnostné HTTP hlavičky? Pokyny, ktoré server posiela s každou stránkou a hovoria prehliadaču, aby vynútil ochrany — zablokoval rámovanie, odmietol zmiešaný obsah, obmedzil skripty. Sú to bezplatná konfigurácia, nie softvér.
Prečo ich všetky nastavuje iba 4.03% webu? Pretože sú dobrovoľné a neviditeľné. Keď chýbajú, nič sa nepokazí ani nevaruje, takže väčšina stránok ich nikdy nepridá — kým útok nezneužije medzeru.
Ktorá hlavička je najdôležitejšia? HSTS a Content-Security-Policy poskytujú najväčšiu ochranu. CSP je najsilnejšia obrana proti cross-site scriptingu, ale jej nasadenie si vyžaduje najväčšiu starostlivosť.
Ako zistím, ktoré hlavičky mojej stránke chýbajú? Spustite bezplatnú, súkromnú kontrolu (nižšie) — vypíše každú hlavičku a či ste ju nastavili.
Skontrolujte si bezpečnostné hlavičky zadarmo
Pozrite si úplné vysvedčenie svojich hlavičiek — a presne čo pridať — súkromne a iba pre vlastníka.
Skontrolujte svoju doménu → · Opraviť CSP → · Opraviť HSTS → · Ako hodnotíme → · Iba agregované údaje. Údaje uložené a spracované v EÚ.