Коротко. Мы просканировали HTTP security-заголовки 50 крупнейших сайтов рунета (e-commerce, банки, госуслуги, медиа, телеком) движком Enterno.io. Из 44 сайтов, отдавших анализируемые заголовки, только 2% используют Content-Security-Policy, 25% — HSTS, и 57% получают грейд F. При этом SSL/TLS-гигиена отличная: 49 из 50 имеют валидный сертификат, в среднем 142 дня до истечения, ни одного на грани. Вывод: рунет научился управлять сертификатами, но почти не использует security-заголовки — особенно Content Security Policy, главную защиту от XSS.
Что мы измеряли и как
Методология (полностью открыта, см. футер): взяли 50 публично известных топ-доменов рунета из категорий e-commerce, банки/финансы, госуслуги, медиа, телеком, классифайды, travel. Для каждого запросили главную страницу и проанализировали шесть ключевых security-заголовков тем же движком, что стоит за бесплатным Security-сканером Enterno.io. Шесть сайтов (12%) вернули ответ за WAF/анти-бот и не дали анализируемых заголовков — они исключены из процентов ниже (база = 44 сайта). Дата сканирования: июнь 2026.
Главная находка: заголовки почти не используются
| Security-заголовок | Используют | Доля |
|---|---|---|
| X-Content-Type-Options | 18 / 44 | 41% |
| X-Frame-Options | 17 / 44 | 39% |
| HSTS (Strict-Transport-Security) | 11 / 44 | 25% |
| Referrer-Policy | 7 / 44 | 16% |
| Content-Security-Policy | 1 / 44 | 2% |
| Permissions-Policy | 1 / 44 | 2% |
Самый сильный заголовок защиты — CSP — используется ровно одним сайтом из 44. CSP ограничивает источники скриптов и закрывает целый класс XSS-атак; его почти полное отсутствие в топ-рунете — главный системный пробел.
Распределение грейдов
- F — 25 сайтов (57%): нет или почти нет security-заголовков.
- D — 16 сайтов (36%): один-два базовых заголовка.
- C — 2 сайта (5%).
- B — 1 сайт (2%).
- A — 0 сайтов.
93% топ-сайтов рунета получают D или F. Ни один не дотянул до A. Это не вопрос ресурсов (у банков и маркетплейсов их достаточно) — это вопрос приоритизации: security-заголовки дают высокий ROI за минимальную работу (несколько строк в конфиге Nginx), но остаются вне чек-листов.
SSL/TLS — здесь всё хорошо
Контраст: по сертификатам гигиена образцовая.
- 49 из 50 сайтов (98%) отдали валидный сертификат.
- Среднее время до истечения — 142 дня.
- Минимум — 21 день; ни одного сертификата на грани (≤14 дней).
Авто-продление (Let's Encrypt / коммерческие ACME) решило проблему «забыли продлить сертификат». А вот заголовки — следующий невзятый рубеж.
Почему security-заголовки важны
Заголовки — это дешёвая defense-in-depth прямо на уровне ответа сервера:
- CSP — ограничивает, откуда грузятся скрипты; ломает большинство XSS даже при наличии уязвимости в коде.
- HSTS — заставляет браузер всегда ходить по SSL/TLS проверку, закрывает downgrade/SSL-strip атаки.
- X-Frame-Options / frame-ancestors — защита от clickjacking.
- X-Content-Type-Options: nosniff — против MIME-SNI.
- Referrer-Policy — не утекать URL во внешние сервисы.
# Nginx — базовый набор за 6 строк
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "geolocation=(), camera=(), microphone=()" always;
add_header Content-Security-Policy "default-src 'self'" always; # начните в Report-OnlyЧто делать владельцу сайта
- Проверьте свой сайт Security-сканером — получите грейд и список отсутствующих заголовков за 10 секунд.
- Добавьте «лёгкие» заголовки сразу (HSTS, nosniff, X-Frame-Options, Referrer-Policy) — они не ломают сайт.
- CSP внедряйте через CSP-анализатор и режим
Content-Security-Policy-Report-Only, чтобы не сломать скрипты; затем переключайте на enforce. - Поставьте сайт на мониторинг сайтов, чтобы узнать, если грейд упадёт после очередного релиза.
Почему только 44 из 50 сайтов в статистике?
6 сайтов вернули ответ за WAF/анти-бот, который отдаёт собственные заголовки, а не заголовки origin. Чтобы не искажать данные, мы считали проценты по 44 сайтам с анализируемым ответом.
Это разовый снимок или регулярное исследование?
Снимок на июнь 2026. Мы планируем повторять замер — security-заголовки меняются с релизами, и динамика интереснее статики.
Можно ли проверить мой сайт по той же методике?
Да — Security-сканер использует ровно тот же движок и те же критерии грейда, что и это исследования.
Почему CSP так редок?
CSP сложнее внедрить, чем остальные заголовки: нужно перечислить все легитимные источники скриптов/стилей, иначе сломается функциональность. Поэтому команды его откладывают. Режим Report-Only снимает риск и позволяет внедрять постепенно.
Методология. 50 публично известных топ-доменов рунета (e-commerce, банки, госуслуги, медиа, телеком, классифайды, travel). Для каждого — один запрос главной страницы, анализ шести security-заголовков движком Enterno.io (тот же, что в публичном Security-сканере). 44 сайта вернули анализируемый ответ, 6 — за WAF (исключены из процентов). SSL: TLS-хендшейк, дни до истечения из сертификата. Дата: июнь 2026. Данные воспроизводимы — проверьте любой сайт из выборки сами.