Defaults.Exposed › Raporlar
HTTP Güvenlik Başlığı Karnesi: Web 2026'da Nasıl Puan Alıyor
Yayımlanma 2026-06-29
Veriler 2026-06-29 itibarıyla · metodoloji v7. 261 milyon notlandırılmış alan adı genelinde toplu sayım verileri. Başlık kontrolleri, ulaşabildiğimiz yanıtlar üzerinden gözlemlenir. Bkz. nasıl notlandırıyoruz.
HTTP güvenlik başlıkları web’deki en ucuz savunmalar arasındadır — birkaç satır yapılandırma, maliyetsiz — ve veriler bunların neredeyse her yerde atlandığını gösteriyor. 261 milyon alan adı genelinde, her temel başlığı doğru ayarlayan yalnızca %4.03. Her başlık belirli, gerçek bir saldırıyı engeller — clickjacking, içerik enjeksiyonu, protokol düşürme, yönlendiren sızıntısı — ve her biri sitelerin büyük çoğunluğunda eksiktir.
Karne
Yüksek olması daha iyi — her başlığı doğru ayarlayan alan adlarının oranı. 2026-06-29 itibarıyla:
| Başlık | Neyi durdurur | Onu ayarlayan alan adları |
|---|---|---|
| HSTS (Strict-Transport-Security) | HTTPS’ten HTTP’ye düşürme | HTTPS sitelerinin %22.91‘i |
| Content-Security-Policy | Siteler arası betik çalıştırma / içerik enjeksiyonu | %8.87 |
| X-Frame-Options / frame-ancestors | Clickjacking | %14.48 |
| X-Content-Type-Options (nosniff) | MIME tipi karıştırma saldırıları | %16.65 |
| Referrer-Policy | Ziyaretçi URL’lerinin üçüncü taraflara sızdırılması | %10.10 |
| Yukarıdakilerin tümü (“varsayılan olarak güvenli”) | Tam set | %4.03 |
Content-Security-Policy — siteler arası betik çalıştırmaya karşı en güçlü savunma — en büyük başarısızlıktır: alan adlarının yalnızca %8.87‘i etkili bir tane gönderir. Ve setin tamamını doğru ayarlayan yalnızca %4.03 vardır.
Ücretsizken neden bu kadar düşük?
Çoğu sunucu ve platform başlıkları varsayılan olarak kurmaz, dolayısıyla yalnızca biri bilinçli olarak eklediğinde ortaya çıkarlar. Eksik olmaları için korkutucu bir uyarı yoktur — süresi dolmuş bir sertifikanın aksine, eksik bir başlık site sahibine ve ziyaretçilere, tam istismar edildiği ana kadar görünmezdir. İşte bu görünmezlik, en önemli başlıklarda benimsenmenin tek haneli yüzdelerde kalmasının nedenidir.
Hangi başlıklara öncelik vermeliyim?
Çoğu site için, sırayla:
- HSTS — HTTPS’e geçtikten sonra, bunu sabitleyin. HSTS’i düzelt.
- Clickjacking koruması — sayfalarınızın çerçevelenmesini engelleyen tek satırlık bir başlık. Clickjacking’i düzelt.
- X-Content-Type-Options: nosniff ve Referrer-Policy — eklemesi çok kolay. MIME-sniffing · Referrer-Policy.
- Content-Security-Policy — en güçlüsü ve en çok iş gerektireni; dikkatle yapmaya değer. CSP’yi düzelt.
Sıkça sorulan sorular
HTTP güvenlik başlıkları nedir? Bir sunucunun her sayfayla birlikte gönderdiği, tarayıcıya korumaları uygulamasını söyleyen talimatlar — çerçevelemeyi engelle, karışık içeriği reddet, betikleri kısıtla. Bunlar ücretsiz yapılandırmadır, yazılım değil.
Web’in neden yalnızca %4.03‘i hepsini ayarlıyor? Çünkü isteğe bağlı ve görünmezdirler. Eksik olduklarında hiçbir şey bozulmaz veya uyarmaz, bu yüzden çoğu site bunları asla eklemez — ta ki bir saldırı bu açığı istismar edene kadar.
En önemli başlık hangisi? HSTS ve bir Content-Security-Policy en fazla korumayı sağlar. CSP, siteler arası betik çalıştırmaya karşı en güçlü savunmadır ancak devreye almak en çok özeni gerektirir.
Sitemde hangi başlıkların eksik olduğunu nasıl görürüm? Ücretsiz, gizli bir kontrol çalıştırın (aşağıda) — her başlığı ve onu ayarlayıp ayarlamadığınızı listeler.
Güvenlik başlıklarınızı ücretsiz kontrol edin
Eksiksiz başlık karnenizi — ve tam olarak neyi eklemeniz gerektiğini — gizli ve yalnızca sahibe özel olarak görün.
Alan adınızı kontrol edin → · CSP’yi düzelt → · HSTS’i düzelt → · Nasıl notlandırıyoruz → · Yalnızca toplu veriler. Veriler AB’de depolanır ve işlenir.