Defaults.Exposed

Defaults.Exposed › Звіти

Табель заголовків безпеки HTTP: як веб оцінюється у 2026 році

Опубліковано 2026-06-29

Дані станом на 2026-06-29 · методологія v7. Агреговані дані перепису по 261 мільйонах оцінених доменів. Перевірки заголовків спостерігаються на відповідях, до яких ми змогли дістатися. Дивіться як ми оцінюємо.

HTTP-заголовки безпеки належать до найдешевших засобів захисту в інтернеті — кілька рядків конфігурації, без витрат — і дані показують, що їх майже повсюдно ігнорують. Серед 261 мільйонів доменів лише 4.03% правильно встановлюють кожен основний заголовок. Кожен заголовок блокує конкретну, реальну атаку — clickjacking, ін’єкцію контенту, пониження протоколу, витік referrer — і кожного бракує на переважній більшості сайтів.

Табель успішності

Що вище, то краще — частка доменів, які правильно встановлюють кожен заголовок. Станом на 2026-06-29:

ЗаголовокЩо зупиняєДомени, що його встановлюють
HSTS (Strict-Transport-Security)Пониження з HTTPS до HTTP22.91% сайтів HTTPS
Content-Security-PolicyCross-site scripting / ін’єкція контенту8.87%
X-Frame-Options / frame-ancestorsClickjacking14.48%
X-Content-Type-Options (nosniff)Атаки на плутанину MIME-типу16.65%
Referrer-PolicyВитік URL-адрес відвідувачів третім сторонам10.10%
Усе перелічене («безпечно за замовчуванням»)Повний набір4.03%

Content-Security-Policy — найсильніший захист від cross-site scripting — є головною невдачею: лише 8.87% доменів постачають ефективний. І лише 4.03% правильно встановлюють весь набір.

Чому так мало, якщо вони безкоштовні?

Більшість серверів і платформ не встановлюють заголовки за замовчуванням, тож вони з’являються лише тоді, коли хтось свідомо їх додає. Немає страшного попередження про їхню відсутність — на відміну від простроченого сертифіката, відсутній заголовок невидимий для власника сайту й для відвідувачів аж до моменту, коли його використають. Саме ця невидимість і є причиною того, що поширення тримається на однозначних цифрах для найважливіших заголовків.

Які заголовки мені варто пріоритезувати?

Для більшості сайтів, по порядку:

  1. HSTS — щойно ви на HTTPS, зафіксуйте це. Виправити HSTS.
  2. Захист від clickjacking — однорядковий заголовок, що не дає вашим сторінкам поміщатися у фрейм. Виправити clickjacking.
  3. X-Content-Type-Options: nosniff і Referrer-Policy — додати тривіально просто. MIME-sniffing · Referrer-Policy.
  4. Content-Security-Policy — найпотужніший і найбільш трудомісткий; варто зробити ретельно. Виправити CSP.

Поширені запитання

Що таке HTTP-заголовки безпеки? Інструкції, які сервер надсилає з кожною сторінкою, наказуючи браузеру застосувати захист — блокувати фреймінг, відмовляти змішаному контенту, обмежувати скрипти. Це безкоштовна конфігурація, а не програмне забезпечення.

Чому лише 4.03% інтернету встановлюють їх усі? Бо вони добровільні й невидимі. Нічого не ламається й не попереджає, коли їх бракує, тож більшість сайтів ніколи їх не додають — доки атака не використає прогалину.

Який заголовок найважливіший? HSTS і Content-Security-Policy дають найбільший захист. CSP — найсильніший захист від cross-site scripting, але потребує найбільшої уваги під час розгортання.

Як побачити, яких заголовків бракує на моєму сайті? Запустіть безкоштовну приватну перевірку (нижче) — вона перелічить кожен заголовок і чи ви його встановили.

Перевірте свої заголовки безпеки безкоштовно

Перегляньте повний табель успішності ваших заголовків — і точно, що додати — приватно й лише для власника.

Перевірте свій домен → · Виправити CSP → · Виправити HSTS → · Як ми оцінюємо → · Лише агреговані дані. Дані зберігаються та обробляються в ЄС.