Defaults.Exposed

Defaults.Exposed › รายงาน

รายงานการ์ด HTTP Security Header: เว็บได้คะแนนเท่าไรในปี 2026

เผยแพร่ 2026-06-29

ตัวเลข ณ 2026-06-29 · ระเบียบวิธี v7 ข้อมูลสำมะโนรวมจากโดเมน 261 ล้านโดเมนที่ได้รับการให้เกรด การตรวจสอบ headers สังเกตได้จากการตอบสนองที่เราสามารถเข้าถึงได้ ดู วิธีที่เราให้เกรด

HTTP security headers เป็นหนึ่งในการป้องกันที่ถูกที่สุดบนเว็บ — เพียงไม่กี่บรรทัดของการกำหนดค่า ไม่มีค่าใช้จ่าย — และข้อมูลแสดงว่าแทบไม่มีใครทำ ข้ามโดเมน 261 ล้านโดเมน มีเพียง 4.03% ที่ตั้ง headers หลักทุกตัวอย่างถูกต้อง แต่ละ header ป้องกันการโจมตีเฉพาะจริงๆ — clickjacking, content injection, protocol downgrade, referrer leakage — และแต่ละตัวหายไปจากไซต์ส่วนใหญ่

การ์ดรายงาน

ยิ่งสูงยิ่งดี — สัดส่วนของโดเมนที่ตั้ง headers แต่ละตัวอย่างถูกต้อง ณ 2026-06-29:

Headerสิ่งที่หยุดได้โดเมนที่ตั้งค่า
HSTS (Strict-Transport-Security)การดาวน์เกรดจาก HTTPS เป็น HTTP22.91% ของไซต์ HTTPS
Content-Security-PolicyCross-site scripting / content injection8.87%
X-Frame-Options / frame-ancestorsClickjacking14.48%
X-Content-Type-Options (nosniff)การโจมตี MIME-type confusion16.65%
Referrer-Policyการรั่วไหล URL ผู้เยี่ยมชมไปยังบุคคลที่สาม10.10%
ทั้งหมดข้างต้น (“ปลอดภัยโดยค่าเริ่มต้น”)ชุดครบถ้วน4.03%

Content-Security-Policy — การป้องกันที่แข็งแกร่งที่สุดต่อ cross-site scripting — คือความล้มเหลวหลัก: มีเพียง 8.87% ของโดเมนที่ส่งตัวที่มีประสิทธิภาพ และเพียง 4.03% ที่ตั้งชุดทั้งหมดอย่างถูกต้อง

ทำไมถึงต่ำมาก เมื่อมันฟรี?

Headers ไม่ถูกติดตั้งโดยค่าเริ่มต้นโดยเซิร์ฟเวอร์และแพลตฟอร์มส่วนใหญ่ ดังนั้นจะปรากฏเฉพาะเมื่อมีคนเพิ่มอย่างตั้งใจ ไม่มีคำเตือนน่ากลัวสำหรับการขาดหายไป — ต่างจากใบรับรองที่หมดอายุ header ที่หายไปนั้นมองไม่เห็นสำหรับเจ้าของไซต์และผู้เยี่ยมชม จนกว่าจะถูกใช้ประโยชน์ ความล่องหนนั้นคือเหตุผลที่การนำไปใช้อยู่ในหลักหน่วยสำหรับ headers ที่สำคัญที่สุด

ฉันควรจัดลำดับความสำคัญ header ไหน?

สำหรับไซต์ส่วนใหญ่ ตามลำดับ:

  1. HSTS — เมื่อคุณใช้ HTTPS แล้ว ล็อกมันไว้ แก้ไข HSTS
  2. การป้องกัน Clickjacking — header หนึ่งบรรทัดที่หยุดหน้าของคุณไม่ให้ถูก frame แก้ไข clickjacking
  3. X-Content-Type-Options: nosniff และ Referrer-Policy — เพิ่มได้ง่าย MIME-sniffing · Referrer-Policy
  4. Content-Security-Policy — ทรงพลังที่สุดและต้องทำงานมากที่สุด คุ้มค่าที่จะทำอย่างรอบคอบ แก้ไข CSP

คำถามที่พบบ่อย

HTTP security headers คืออะไร? คำสั่งที่เซิร์ฟเวอร์ส่งพร้อมกับแต่ละหน้าบอกให้เบราว์เซอร์บังคับใช้การป้องกัน — บล็อกการ frame ปฏิเสธ mixed content จำกัด scripts มันเป็นการกำหนดค่าฟรี ไม่ใช่ซอฟต์แวร์

ทำไมมีเพียง 4.03% ของเว็บที่ตั้งทั้งหมด? เพราะมันเป็นแบบ opt-in และมองไม่เห็น ไม่มีอะไรพังหรือเตือนเมื่อหายไป ดังนั้นไซต์ส่วนใหญ่ไม่เพิ่ม — จนกว่าการโจมตีจะใช้ประโยชน์จากช่องว่าง

header ไหนสำคัญที่สุด? HSTS และ Content-Security-Policy ให้การป้องกันมากที่สุด CSP เป็นการป้องกันที่แข็งแกร่งที่สุดต่อ cross-site scripting แต่ต้องใช้ความระมัดระวังมากที่สุดในการ deploy

ฉันจะดูว่าไซต์ของฉันขาด headers ไหน? รันการตรวจสอบฟรีและเป็นส่วนตัว (ด้านล่าง) — มันจะแสดงรายการแต่ละ header และว่าคุณตั้งค่าหรือไม่

ตรวจสอบ security headers ของคุณฟรี

ดูการ์ดรายงาน header แบบเต็มของคุณ — และสิ่งที่ต้องเพิ่มอย่างชัดเจน — อย่างเป็นส่วนตัวและเฉพาะเจ้าของ

ตรวจสอบโดเมนของคุณ → · แก้ไข CSP → · แก้ไข HSTS → · วิธีที่เราให้เกรด → · เฉพาะข้อมูลรวม ข้อมูลจัดเก็บและประมวลผลในสหภาพยุโรป