Defaults.Exposed

Defaults.Exposed › Izveštaji

Izveštaj o HTTP bezbednosnim zaglavljima: Kako veb prolazi u 2026.

Objavljeno 2026-06-29

Подаци на дан 2026-06-29 · методологија v7. Агрегатни подаци пописа на 261 милиона оцењених домена. Провере заглавља се посматрају на одговорима до којих смо могли да дођемо. Погледајте како оцењујемо.

HTTP безбедносна заглавља спадају међу најјефтиније одбране на вебу — неколико редова конфигурације, без трошкова — а подаци показују да се готово универзално прескачу. Међу 261 милиона домена, само 4.03% исправно поставља свако кључно заглавље. Свако заглавље блокира одређени, стваран напад — clickjacking, убацивање садржаја, деградацију протокола, цурење referrer-а — и свако недостаје на великој већини сајтова.

Ђачка књижица

Више је боље — удео домена који исправно постављају свако заглавље. На дан 2026-06-29:

ЗаглављеШта заустављаДомени који га постављају
HSTS (Strict-Transport-Security)Деградација са HTTPS на HTTP22.91% HTTPS сајтова
Content-Security-PolicyCross-site scripting / убацивање садржаја8.87%
X-Frame-Options / frame-ancestorsClickjacking14.48%
X-Content-Type-Options (nosniff)Напади забуне MIME типа16.65%
Referrer-PolicyЦурење URL-ова посетилаца трећим странама10.10%
Све наведено („безбедно подразумевано”)Цео комплет4.03%

Content-Security-Policy — најјача одбрана од cross-site scripting-а — представља главни промашај: само 8.87% домена испоручује ефикасну. А само 4.03% исправно поставља цео комплет.

Зашто тако ниско, када су бесплатна?

Већина сервера и платформи не инсталира заглавља подразумевано, па се она појављују само када их неко намерно дода. Не постоји застрашујуће упозорење због њиховог недостатка — за разлику од истеклог сертификата, заглавље које недостаје је невидљиво власнику сајта и посетиоцима, све до тренутка када буде искоришћено. Управо та невидљивост је разлог зашто усвајање остаје у једноцифреним бројевима за заглавља која су најважнија.

Која заглавља треба да приоритизујем?

За већину сајтова, по реду:

  1. HSTS — једном када сте на HTTPS, закључајте то. Поправи HSTS.
  2. Заштита од clickjacking-а — заглавље од једног реда које спречава да се ваше странице уоквире. Поправи clickjacking.
  3. X-Content-Type-Options: nosniff и Referrer-Policy — тривијално их је додати. MIME-sniffing · Referrer-Policy.
  4. Content-Security-Policy — најмоћнија и захтева највише посла; вреди је урадити пажљиво. Поправи CSP.

Често постављана питања

Шта су HTTP безбедносна заглавља? Упутства која сервер шаље уз сваку страницу, говорећи прегледачу да примени заштите — да блокира уоквиривање, одбије мешовити садржај, ограничи скрипте. То је бесплатна конфигурација, а не софтвер.

Зашто само 4.03% веба поставља сва? Зато што су опциона и невидљива. Ништа се не квари нити упозорава када недостају, па их већина сајтова никада не дода — све док напад не искористи пропуст.

Које је заглавље најважније? HSTS и Content-Security-Policy пружају највише заштите. CSP је најјача одбрана од cross-site scripting-а али захтева највише пажње при примени.

Како да видим која заглавља недостају на мом сајту? Покрените бесплатну, приватну проверу (испод) — она наводи свако заглавље и да ли сте га поставили.

Проверите своја безбедносна заглавља бесплатно

Погледајте комплетну ђачку књижицу својих заглавља — и тачно шта да додате — приватно и само за власника.

Проверите свој домен → · Поправи CSP → · Поправи HSTS → · Како оцењујемо → · Само агрегатни подаци. Подаци се чувају и обрађују у ЕУ.