Defaults.Exposed › 报告
HTTP 安全标头成绩单:2026 年的 Web 得分如何
发布于 2026-06-29
数据截至 2026-06-29 · 方法论 v7。 涵盖 261 百万个已评级域名的汇总普查数据。标头检查基于我们能够触达的响应进行观测。参见我们如何评级。
HTTP 安全标头是网络上最廉价的防御手段之一——几行配置,无需成本——但数据显示它们几乎被普遍忽略。 在 261 百万个域名中,只有 4.03% 正确设置了每一个核心标头。每个标头都能阻止一种具体且真实的攻击——点击劫持、内容注入、协议降级、引用来源泄露——而每一个都在绝大多数站点上缺失。
成绩单
越高越好——正确设置每个标头的域名占比。截至 2026-06-29:
| 标头 | 它能阻止什么 | 设置它的域名 |
|---|---|---|
| HSTS (Strict-Transport-Security) | 从 HTTPS 降级到 HTTP | 22.91% 的 HTTPS 站点 |
| Content-Security-Policy | 跨站脚本 / 内容注入 | 8.87% |
| X-Frame-Options / frame-ancestors | 点击劫持 | 14.48% |
| X-Content-Type-Options (nosniff) | MIME 类型混淆攻击 | 16.65% |
| Referrer-Policy | 向第三方泄露访客 URL | 10.10% |
| 以上全部(“默认安全”) | 完整的全套 | 4.03% |
Content-Security-Policy——抵御跨站脚本最强的防御——是最突出的失败项:只有 8.87% 的域名提供了有效的策略。而只有 4.03% 把整套都设置正确。
既然免费,为什么比例这么低?
大多数服务器和平台默认不安装这些标头,所以它们只有在有人刻意添加时才会出现。缺失它们时不会有吓人的警告——与过期证书不同,缺失的标头对站点所有者和访客都是不可见的,直到被利用为止。正是这种不可见性,使得最重要的那些标头的采用率停留在个位数。
我应该优先处理哪些标头?
对大多数站点而言,按顺序:
- HSTS——一旦用上 HTTPS,就把它锁定。修复 HSTS。
- 点击劫持防护——一行标头即可阻止你的页面被嵌入框架。修复点击劫持。
- X-Content-Type-Options: nosniff 和 Referrer-Policy——添加起来很简单。MIME 嗅探 · Referrer-Policy。
- Content-Security-Policy——最强大也最费功夫;值得用心去做。修复 CSP。
常见问题
什么是 HTTP 安全标头? 服务器随每个页面发送的指令,告诉浏览器强制执行保护措施——阻止框架嵌入、拒绝混合内容、限制脚本。它们是免费的配置,不是软件。
为什么只有 4.03% 的网站全部设置了它们? 因为它们是选择性启用且不可见的。缺失时不会损坏任何东西,也不会发出警告,所以大多数站点从不添加——直到一次攻击利用了这个缺口。
哪个标头最重要? HSTS 和 Content-Security-Policy 提供的保护最多。CSP 是抵御跨站脚本最强的防御,但部署时需要最多的细心。
我怎么看出我的站点缺少哪些标头? 运行一次免费的私密检查(见下方)——它会列出每个标头以及你是否设置了它。
免费检查你的安全标头
私密地、仅限所有者地查看你完整的标头成绩单——以及究竟需要添加什么。
检查你的域名 → · 修复 CSP → · 修复 HSTS → · 我们如何评级 → · 仅汇总数据。数据在欧盟存储和处理。