Defaults.Exposed › Звіти
Табель заголовків безпеки HTTP: як веб оцінюється у 2026 році
Опубліковано 2026-06-29
Дані станом на 2026-06-29 · методологія v7. Агреговані дані перепису по 261 мільйонах оцінених доменів. Перевірки заголовків спостерігаються на відповідях, до яких ми змогли дістатися. Дивіться як ми оцінюємо.
HTTP-заголовки безпеки належать до найдешевших засобів захисту в інтернеті — кілька рядків конфігурації, без витрат — і дані показують, що їх майже повсюдно ігнорують. Серед 261 мільйонів доменів лише 4.03% правильно встановлюють кожен основний заголовок. Кожен заголовок блокує конкретну, реальну атаку — clickjacking, ін’єкцію контенту, пониження протоколу, витік referrer — і кожного бракує на переважній більшості сайтів.
Табель успішності
Що вище, то краще — частка доменів, які правильно встановлюють кожен заголовок. Станом на 2026-06-29:
| Заголовок | Що зупиняє | Домени, що його встановлюють |
|---|---|---|
| HSTS (Strict-Transport-Security) | Пониження з HTTPS до HTTP | 22.91% сайтів HTTPS |
| Content-Security-Policy | Cross-site scripting / ін’єкція контенту | 8.87% |
| X-Frame-Options / frame-ancestors | Clickjacking | 14.48% |
| X-Content-Type-Options (nosniff) | Атаки на плутанину MIME-типу | 16.65% |
| Referrer-Policy | Витік URL-адрес відвідувачів третім сторонам | 10.10% |
| Усе перелічене («безпечно за замовчуванням») | Повний набір | 4.03% |
Content-Security-Policy — найсильніший захист від cross-site scripting — є головною невдачею: лише 8.87% доменів постачають ефективний. І лише 4.03% правильно встановлюють весь набір.
Чому так мало, якщо вони безкоштовні?
Більшість серверів і платформ не встановлюють заголовки за замовчуванням, тож вони з’являються лише тоді, коли хтось свідомо їх додає. Немає страшного попередження про їхню відсутність — на відміну від простроченого сертифіката, відсутній заголовок невидимий для власника сайту й для відвідувачів аж до моменту, коли його використають. Саме ця невидимість і є причиною того, що поширення тримається на однозначних цифрах для найважливіших заголовків.
Які заголовки мені варто пріоритезувати?
Для більшості сайтів, по порядку:
- HSTS — щойно ви на HTTPS, зафіксуйте це. Виправити HSTS.
- Захист від clickjacking — однорядковий заголовок, що не дає вашим сторінкам поміщатися у фрейм. Виправити clickjacking.
- X-Content-Type-Options: nosniff і Referrer-Policy — додати тривіально просто. MIME-sniffing · Referrer-Policy.
- Content-Security-Policy — найпотужніший і найбільш трудомісткий; варто зробити ретельно. Виправити CSP.
Поширені запитання
Що таке HTTP-заголовки безпеки? Інструкції, які сервер надсилає з кожною сторінкою, наказуючи браузеру застосувати захист — блокувати фреймінг, відмовляти змішаному контенту, обмежувати скрипти. Це безкоштовна конфігурація, а не програмне забезпечення.
Чому лише 4.03% інтернету встановлюють їх усі? Бо вони добровільні й невидимі. Нічого не ламається й не попереджає, коли їх бракує, тож більшість сайтів ніколи їх не додають — доки атака не використає прогалину.
Який заголовок найважливіший? HSTS і Content-Security-Policy дають найбільший захист. CSP — найсильніший захист від cross-site scripting, але потребує найбільшої уваги під час розгортання.
Як побачити, яких заголовків бракує на моєму сайті? Запустіть безкоштовну приватну перевірку (нижче) — вона перелічить кожен заголовок і чи ви його встановили.
Перевірте свої заголовки безпеки безкоштовно
Перегляньте повний табель успішності ваших заголовків — і точно, що додати — приватно й лише для власника.
Перевірте свій домен → · Виправити CSP → · Виправити HSTS → · Як ми оцінюємо → · Лише агреговані дані. Дані зберігаються та обробляються в ЄС.