Defaults.Exposed

Defaults.Exposed › Poročila

Spričevalo varnostnih glav HTTP: kako je splet ocenjen v letu 2026

Objavljeno 2026-06-29

Številke na dan 2026-06-29 · metodologija v7. Združeni popisni podatki za 261 milijonov ocenjenih domen. Preverjanja glav se opazujejo na odgovorih, do katerih smo lahko dostopali. Oglejte si kako ocenjujemo.

Varnostne glave HTTP so med najcenejšimi obrambami na spletu — nekaj vrstic nastavitev, brez stroškov — in podatki kažejo, da jih skoraj povsod izpustijo. Med 261 milijoni domen samo 4.03% pravilno nastavi vsako ključno glavo. Vsaka glava blokira določen, resničen napad — clickjacking, vstavljanje vsebine, znižanje protokola, uhajanje referrerja — in vsaka manjka na veliki večini spletnih mest.

Spričevalo

Več je bolje — delež domen, ki pravilno nastavijo vsako glavo. Na dan 2026-06-29:

GlavaKaj ustaviDomene, ki jo nastavijo
HSTS (Strict-Transport-Security)Znižanje s HTTPS na HTTP22.91% spletnih mest HTTPS
Content-Security-PolicyCross-site scripting / vstavljanje vsebine8.87%
X-Frame-Options / frame-ancestorsClickjacking14.48%
X-Content-Type-Options (nosniff)Napadi z zmedo vrste MIME16.65%
Referrer-PolicyUhajanje URL-jev obiskovalcev tretjim osebam10.10%
Vse zgoraj navedeno („privzeto varno”)Celoten nabor4.03%

Content-Security-Policy — najmočnejša obramba pred cross-site scriptingom — je glavni neuspeh: samo 8.87% domen zagotavlja učinkovito. In le 4.03% pravilno nastavi celoten nabor.

Zakaj tako nizko, če so brezplačne?

Večina strežnikov in platform glav privzeto ne namesti, zato se pojavijo le, ko jih nekdo namerno doda. Za njihovo odsotnost ni nobenega strašljivega opozorila — za razliko od poteklega potrdila je manjkajoča glava nevidna lastniku spletnega mesta in obiskovalcem, vse do trenutka, ko jo izkoristijo. Prav ta nevidnost je razlog, zakaj sprejetje pri najpomembnejših glavah ostaja v enomestnih številkah.

Katere glave naj prednostno obravnavam?

Za večino spletnih mest, po vrsti:

  1. HSTS — ko ste na HTTPS, to zaklenite. Popravi HSTS.
  2. Zaščita pred clickjackingom — enovrstična glava, ki preprečuje uokvirjanje vaših strani. Popravi clickjacking.
  3. X-Content-Type-Options: nosniff in Referrer-Policy — dodati ju je povsem preprosto. MIME-sniffing · Referrer-Policy.
  4. Content-Security-Policy — najzmogljivejša in najbolj zamudna; vredno jo je narediti skrbno. Popravi CSP.

Pogosto zastavljena vprašanja

Kaj so varnostne glave HTTP? Navodila, ki jih strežnik pošlje z vsako stranjo in brskalniku naročijo, naj uveljavi zaščite — blokira uokvirjanje, zavrne mešano vsebino, omeji skripte. So brezplačna nastavitev, ne programska oprema.

Zakaj jih vse nastavi samo 4.03% spleta? Ker so neobvezne in nevidne. Ko manjkajo, se nič ne pokvari in nič ne opozori, zato jih večina spletnih mest nikoli ne doda — dokler napad ne izkoristi vrzeli.

Katera glava je najpomembnejša? HSTS in Content-Security-Policy zagotavljata največ zaščite. CSP je najmočnejša obramba pred cross-site scriptingom, a njena uvedba zahteva največ skrbnosti.

Kako vidim, katere glave manjkajo na mojem spletnem mestu? Zaženite brezplačno, zasebno preverjanje (spodaj) — našteje vsako glavo in ali ste jo nastavili.

Brezplačno preverite svoje varnostne glave

Oglejte si celotno spričevalo svojih glav — in natančno, kaj dodati — zasebno in samo za lastnika.

Preverite svojo domeno → · Popravi CSP → · Popravi HSTS → · Kako ocenjujemo → · Samo združeni podatki. Podatki shranjeni in obdelani v EU.