Defaults.Exposed

Defaults.Exposed › Rapporter

Betygsrapporten för HTTP-säkerhetsrubriker: så presterar webben 2026

Publicerad 2026-06-29

Siffror per 2026-06-29 · metodik v7. Aggregerade folkräkningsdata över 261 miljoner betygsatta domäner. Headerkontroller observeras på de svar vi kunde nå. Se hur vi betygsätter.

HTTP-säkerhetsheaders hör till de billigaste försvaren på webben — några rader konfiguration, ingen kostnad — och datan visar att de nästan alltid hoppas över. Över 261 miljoner domäner sätter bara 4.03% varje kärnheader korrekt. Varje header blockerar en specifik, verklig attack — clickjacking, innehållsinjektion, protokollnedgradering, referrer-läckage — och varje header saknas på den stora majoriteten av webbplatserna.

Betygsrapporten

Högre är bättre — andelen domäner som sätter varje header korrekt. Per 2026-06-29:

HeaderVad den stopparDomäner som sätter den
HSTS (Strict-Transport-Security)Nedgradering från HTTPS till HTTP22.91% av HTTPS-webbplatserna
Content-Security-PolicyCross-site scripting / innehållsinjektion8.87%
X-Frame-Options / frame-ancestorsClickjacking14.48%
X-Content-Type-Options (nosniff)Attacker baserade på MIME-typsförväxling16.65%
Referrer-PolicyLäckage av besökarnas URL:er till tredje part10.10%
Alla ovanstående (“säker som standard”)Hela uppsättningen4.03%

Content-Security-Policy — det starkaste försvaret mot cross-site scripting — är det stora misslyckandet: bara 8.87% av domänerna levererar en effektiv sådan. Och bara 4.03% får hela uppsättningen rätt.

Varför så lågt, när de är gratis?

De flesta servrar och plattformar installerar inte headers som standard, så de dyker bara upp när någon medvetet lägger till dem. Det finns ingen skrämmande varning för att de saknas — till skillnad från ett utgånget certifikat är en saknad header osynlig för webbplatsägaren och för besökarna, ända fram till att den utnyttjas. Just den osynligheten är precis varför införandet ligger på ensiffriga procent för de headers som spelar störst roll.

Vilka headers bör jag prioritera?

För de flesta webbplatser, i ordning:

  1. HSTS — så fort du är på HTTPS, lås fast det. Åtgärda HSTS.
  2. Skydd mot clickjacking — en header på en rad som hindrar dina sidor från att ramas in. Åtgärda clickjacking.
  3. X-Content-Type-Options: nosniff och Referrer-Policy — triviala att lägga till. MIME-sniffing · Referrer-Policy.
  4. Content-Security-Policy — den mäktigaste och den mest arbetskrävande; värd att göra omsorgsfullt. Åtgärda CSP.

Vanliga frågor

Vad är HTTP-säkerhetsheaders? Instruktioner som en server skickar med varje sida och som talar om för webbläsaren att tillämpa skydd — blockera inramning, vägra blandat innehåll, begränsa skript. De är gratis konfiguration, inte mjukvara.

Varför sätter bara 4.03% av webben alla? För att de är frivilliga och osynliga. Inget går sönder eller varnar när de saknas, så de flesta webbplatser lägger aldrig till dem — förrän en attack utnyttjar luckan.

Vilken är den viktigaste headern? HSTS och en Content-Security-Policy ger mest skydd. CSP är det starkaste försvaret mot cross-site scripting men kräver mest omsorg att driftsätta.

Hur ser jag vilka headers min webbplats saknar? Kör en gratis, privat kontroll (nedan) — den listar varje header och om du har satt den.

Kontrollera dina säkerhetsheaders gratis

Se hela din headerbetygsrapport — och exakt vad du ska lägga till — privat och endast för ägaren.

Kontrollera din domän → · Åtgärda CSP → · Åtgärda HSTS → · Hur vi betygsätter → · Endast aggregerade data. Data lagras och behandlas inom EU.