Defaults.Exposed › Báo cáo
Phiếu điểm Tiêu đề Bảo mật HTTP: Web đạt điểm ra sao năm 2026
Đã xuất bản 2026-06-29
Số liệu tính đến 2026-06-29 · phương pháp luận v7. Dữ liệu khảo sát tổng hợp trên 261 triệu tên miền được chấm điểm. Việc kiểm tra header được quan sát trên các phản hồi mà chúng tôi có thể tiếp cận. Xem cách chúng tôi chấm điểm.
Các header bảo mật HTTP nằm trong số những biện pháp phòng vệ rẻ nhất trên web — vài dòng cấu hình, không tốn phí — và dữ liệu cho thấy chúng gần như bị bỏ qua trên toàn cầu. Trên 261 triệu tên miền, chỉ 4.03% thiết lập đúng mọi header cốt lõi. Mỗi header chặn một cuộc tấn công cụ thể, có thật — clickjacking, chèn nội dung, hạ cấp giao thức, rò rỉ referrer — và mỗi cái đều thiếu ở đại đa số các trang web.
Bảng điểm
Càng cao càng tốt — tỷ lệ tên miền thiết lập đúng từng header. Tính đến 2026-06-29:
| Header | Ngăn chặn điều gì | Tên miền thiết lập nó |
|---|---|---|
| HSTS (Strict-Transport-Security) | Hạ cấp từ HTTPS xuống HTTP | 22.91% trang HTTPS |
| Content-Security-Policy | Cross-site scripting / chèn nội dung | 8.87% |
| X-Frame-Options / frame-ancestors | Clickjacking | 14.48% |
| X-Content-Type-Options (nosniff) | Tấn công nhầm lẫn kiểu MIME | 16.65% |
| Referrer-Policy | Rò rỉ URL của khách truy cập cho bên thứ ba | 10.10% |
| Tất cả những điều trên (“an toàn theo mặc định”) | Toàn bộ tập hợp | 4.03% |
Content-Security-Policy — biện pháp phòng vệ mạnh nhất chống cross-site scripting — là thất bại nổi bật: chỉ 8.87% tên miền triển khai một header hiệu quả. Và chỉ 4.03% thiết lập đúng toàn bộ tập hợp.
Tại sao lại thấp đến vậy, trong khi chúng miễn phí?
Hầu hết máy chủ và nền tảng không cài đặt header theo mặc định, nên chúng chỉ xuất hiện khi ai đó cố tình thêm vào. Không có cảnh báo đáng sợ nào cho việc thiếu chúng — không như chứng chỉ hết hạn, một header thiếu là vô hình đối với chủ trang web và khách truy cập, ngay cho đến khi nó bị khai thác. Chính sự vô hình đó là lý do tỷ lệ áp dụng nằm ở mức một chữ số đối với những header quan trọng nhất.
Tôi nên ưu tiên header nào?
Đối với hầu hết các trang web, theo thứ tự:
- HSTS — một khi đã ở HTTPS, hãy khóa nó lại. Sửa HSTS.
- Bảo vệ chống clickjacking — một header một dòng ngăn các trang của bạn bị đặt trong khung. Sửa clickjacking.
- X-Content-Type-Options: nosniff và Referrer-Policy — thêm vào cực kỳ đơn giản. MIME-sniffing · Referrer-Policy.
- Content-Security-Policy — mạnh nhất và tốn công nhất; đáng để làm cẩn thận. Sửa CSP.
Câu hỏi thường gặp
Header bảo mật HTTP là gì? Là các chỉ thị mà máy chủ gửi kèm mỗi trang, yêu cầu trình duyệt thực thi các biện pháp bảo vệ — chặn đóng khung, từ chối nội dung hỗn hợp, hạn chế script. Chúng là cấu hình miễn phí, không phải phần mềm.
Tại sao chỉ 4.03% web thiết lập tất cả? Vì chúng là tùy chọn và vô hình. Không có gì hỏng hay cảnh báo khi chúng thiếu, nên hầu hết trang web không bao giờ thêm chúng — cho đến khi một cuộc tấn công khai thác lỗ hổng.
Header nào quan trọng nhất? HSTS và Content-Security-Policy mang lại sự bảo vệ nhiều nhất. CSP là biện pháp phòng vệ mạnh nhất chống cross-site scripting nhưng cần nhiều cẩn trọng nhất khi triển khai.
Làm sao để thấy trang của tôi thiếu những header nào? Chạy một bài kiểm tra miễn phí, riêng tư (bên dưới) — nó liệt kê từng header và việc bạn đã thiết lập nó hay chưa.
Kiểm tra header bảo mật của bạn miễn phí
Xem bảng điểm header đầy đủ của bạn — và chính xác những gì cần thêm — riêng tư và chỉ dành cho chủ sở hữu.
Kiểm tra tên miền của bạn → · Sửa CSP → · Sửa HSTS → · Cách chúng tôi chấm điểm → · Chỉ dữ liệu tổng hợp. Dữ liệu được lưu trữ và xử lý tại EU.