Defaults.Exposed › รายงาน
รายงานการ์ด HTTP Security Header: เว็บได้คะแนนเท่าไรในปี 2026
เผยแพร่ 2026-06-29
ตัวเลข ณ 2026-06-29 · ระเบียบวิธี v7 ข้อมูลสำมะโนรวมจากโดเมน 261 ล้านโดเมนที่ได้รับการให้เกรด การตรวจสอบ headers สังเกตได้จากการตอบสนองที่เราสามารถเข้าถึงได้ ดู วิธีที่เราให้เกรด
HTTP security headers เป็นหนึ่งในการป้องกันที่ถูกที่สุดบนเว็บ — เพียงไม่กี่บรรทัดของการกำหนดค่า ไม่มีค่าใช้จ่าย — และข้อมูลแสดงว่าแทบไม่มีใครทำ ข้ามโดเมน 261 ล้านโดเมน มีเพียง 4.03% ที่ตั้ง headers หลักทุกตัวอย่างถูกต้อง แต่ละ header ป้องกันการโจมตีเฉพาะจริงๆ — clickjacking, content injection, protocol downgrade, referrer leakage — และแต่ละตัวหายไปจากไซต์ส่วนใหญ่
การ์ดรายงาน
ยิ่งสูงยิ่งดี — สัดส่วนของโดเมนที่ตั้ง headers แต่ละตัวอย่างถูกต้อง ณ 2026-06-29:
| Header | สิ่งที่หยุดได้ | โดเมนที่ตั้งค่า |
|---|---|---|
| HSTS (Strict-Transport-Security) | การดาวน์เกรดจาก HTTPS เป็น HTTP | 22.91% ของไซต์ HTTPS |
| Content-Security-Policy | Cross-site scripting / content injection | 8.87% |
| X-Frame-Options / frame-ancestors | Clickjacking | 14.48% |
| X-Content-Type-Options (nosniff) | การโจมตี MIME-type confusion | 16.65% |
| Referrer-Policy | การรั่วไหล URL ผู้เยี่ยมชมไปยังบุคคลที่สาม | 10.10% |
| ทั้งหมดข้างต้น (“ปลอดภัยโดยค่าเริ่มต้น”) | ชุดครบถ้วน | 4.03% |
Content-Security-Policy — การป้องกันที่แข็งแกร่งที่สุดต่อ cross-site scripting — คือความล้มเหลวหลัก: มีเพียง 8.87% ของโดเมนที่ส่งตัวที่มีประสิทธิภาพ และเพียง 4.03% ที่ตั้งชุดทั้งหมดอย่างถูกต้อง
ทำไมถึงต่ำมาก เมื่อมันฟรี?
Headers ไม่ถูกติดตั้งโดยค่าเริ่มต้นโดยเซิร์ฟเวอร์และแพลตฟอร์มส่วนใหญ่ ดังนั้นจะปรากฏเฉพาะเมื่อมีคนเพิ่มอย่างตั้งใจ ไม่มีคำเตือนน่ากลัวสำหรับการขาดหายไป — ต่างจากใบรับรองที่หมดอายุ header ที่หายไปนั้นมองไม่เห็นสำหรับเจ้าของไซต์และผู้เยี่ยมชม จนกว่าจะถูกใช้ประโยชน์ ความล่องหนนั้นคือเหตุผลที่การนำไปใช้อยู่ในหลักหน่วยสำหรับ headers ที่สำคัญที่สุด
ฉันควรจัดลำดับความสำคัญ header ไหน?
สำหรับไซต์ส่วนใหญ่ ตามลำดับ:
- HSTS — เมื่อคุณใช้ HTTPS แล้ว ล็อกมันไว้ แก้ไข HSTS
- การป้องกัน Clickjacking — header หนึ่งบรรทัดที่หยุดหน้าของคุณไม่ให้ถูก frame แก้ไข clickjacking
- X-Content-Type-Options: nosniff และ Referrer-Policy — เพิ่มได้ง่าย MIME-sniffing · Referrer-Policy
- Content-Security-Policy — ทรงพลังที่สุดและต้องทำงานมากที่สุด คุ้มค่าที่จะทำอย่างรอบคอบ แก้ไข CSP
คำถามที่พบบ่อย
HTTP security headers คืออะไร? คำสั่งที่เซิร์ฟเวอร์ส่งพร้อมกับแต่ละหน้าบอกให้เบราว์เซอร์บังคับใช้การป้องกัน — บล็อกการ frame ปฏิเสธ mixed content จำกัด scripts มันเป็นการกำหนดค่าฟรี ไม่ใช่ซอฟต์แวร์
ทำไมมีเพียง 4.03% ของเว็บที่ตั้งทั้งหมด? เพราะมันเป็นแบบ opt-in และมองไม่เห็น ไม่มีอะไรพังหรือเตือนเมื่อหายไป ดังนั้นไซต์ส่วนใหญ่ไม่เพิ่ม — จนกว่าการโจมตีจะใช้ประโยชน์จากช่องว่าง
header ไหนสำคัญที่สุด? HSTS และ Content-Security-Policy ให้การป้องกันมากที่สุด CSP เป็นการป้องกันที่แข็งแกร่งที่สุดต่อ cross-site scripting แต่ต้องใช้ความระมัดระวังมากที่สุดในการ deploy
ฉันจะดูว่าไซต์ของฉันขาด headers ไหน? รันการตรวจสอบฟรีและเป็นส่วนตัว (ด้านล่าง) — มันจะแสดงรายการแต่ละ header และว่าคุณตั้งค่าหรือไม่
ตรวจสอบ security headers ของคุณฟรี
ดูการ์ดรายงาน header แบบเต็มของคุณ — และสิ่งที่ต้องเพิ่มอย่างชัดเจน — อย่างเป็นส่วนตัวและเฉพาะเจ้าของ
ตรวจสอบโดเมนของคุณ → · แก้ไข CSP → · แก้ไข HSTS → · วิธีที่เราให้เกรด → · เฉพาะข้อมูลรวม ข้อมูลจัดเก็บและประมวลผลในสหภาพยุโรป