Defaults.Exposed

Defaults.Exposed › 報告

HTTP 安全標頭成績單:2026 年的 Web 得分如何

發布於 2026-06-29

數據截至 2026-06-29 · 方法論 v7。 涵蓋 261 百萬個已評級域名的彙總普查數據。標頭檢查基於我們能夠觸達的響應進行觀測。參見我們如何評級

HTTP 安全標頭是網絡上最廉價的防禦手段之一——幾行配置,無需成本——但數據顯示它們幾乎被普遍忽略。 在 261 百萬個域名中,只有 4.03% 正確設置了每一個核心標頭。每個標頭都能阻止一種具體且真實的攻擊——點擊劫持、內容注入、協議降級、引用來源洩露——而每一個都在絕大多數站點上缺失。

成績單

越高越好——正確設置每個標頭的域名佔比。截至 2026-06-29:

標頭它能阻止什麼設置它的域名
HSTS (Strict-Transport-Security)從 HTTPS 降級到 HTTP22.91% 的 HTTPS 站點
Content-Security-Policy跨站腳本 / 內容注入8.87%
X-Frame-Options / frame-ancestors點擊劫持14.48%
X-Content-Type-Options (nosniff)MIME 類型混淆攻擊16.65%
Referrer-Policy向第三方洩露訪客 URL10.10%
以上全部(“默認安全”)完整的全套4.03%

Content-Security-Policy——抵禦跨站腳本最強的防禦——是最突出的失敗項:只有 8.87% 的域名提供了有效的策略。而只有 4.03% 把整套都設置正確。

既然免費,為什麼比例這麼低?

大多數服務器和平臺默認不安裝這些標頭,所以它們只有在有人刻意添加時才會出現。缺失它們時不會有嚇人的警告——與過期證書不同,缺失的標頭對站點所有者和訪客都是不可見的,直到被利用為止。正是這種不可見性,使得最重要的那些標頭的採用率停留在個位數。

我應該優先處理哪些標頭?

對大多數站點而言,按順序:

  1. HSTS——一旦用上 HTTPS,就把它鎖定。修復 HSTS
  2. 點擊劫持防護——一行標頭即可阻止你的頁面被嵌入框架。修復點擊劫持
  3. X-Content-Type-Options: nosniffReferrer-Policy——添加起來很簡單。MIME 嗅探 · Referrer-Policy
  4. Content-Security-Policy——最強大也最費功夫;值得用心去做。修復 CSP

常見問題

什麼是 HTTP 安全標頭? 服務器隨每個頁面發送的指令,告訴瀏覽器強制執行保護措施——阻止框架嵌入、拒絕混合內容、限制腳本。它們是免費的配置,不是軟件。

為什麼只有 4.03% 的網站全部設置了它們? 因為它們是選擇性啟用且不可見的。缺失時不會損壞任何東西,也不會發出警告,所以大多數站點從不添加——直到一次攻擊利用了這個缺口。

哪個標頭最重要? HSTS 和 Content-Security-Policy 提供的保護最多。CSP 是抵禦跨站腳本最強的防禦,但部署時需要最多的細心。

我怎麼看出我的站點缺少哪些標頭? 運行一次免費的私密檢查(見下方)——它會列出每個標頭以及你是否設置了它。

免費檢查你的安全標頭

私密地、僅限所有者地查看你完整的標頭成績單——以及究竟需要添加什麼。

檢查你的域名 → · 修復 CSP → · 修復 HSTS → · 我們如何評級 → · 僅彙總數據。數據在歐盟存儲和處理。