По данным замеров (Coverage по заголовкам): поддержка HSTS (Strict-Transport-Security) составляет 64%; X-Frame-Options — 71%; X-Content-Type-Options — 56%; Content-Security-Policy — 18%; Referrer-Policy — 31%. Полные таблицы — ниже на этой странице.
Бесплатный онлайн-инструмент — сканер безопасности сайта: результат мгновенно, без регистрации.
Заголовки проверялись через Enterno.io Security Scanner — выборка ~50 000 публичных HTTPS-сайтов в Рунете. Grade A-F рассчитывался по весам: HSTS (20%), CSP (25%), X-Frame-Options (15%), X-Content-Type-Options (10%), Referrer-Policy (10%), Permissions-Policy (5%), cookies (15%).
| Заголовок | Поддержка |
|---|---|
| HSTS (Strict-Transport-Security) | 64% |
| X-Frame-Options | 71% |
| X-Content-Type-Options | 56% |
| Content-Security-Policy | 18% |
| Referrer-Policy | 31% |
| Permissions-Policy | 9% |
| Cross-Origin-* | 14% |
CSP остаётся самым недооценённым заголовком — только 18% сайтов её настроили, и из них ~40% используют небезопасный unsafe-inline.
| Grade | % |
|---|---|
| A+ | 7% |
| A | 21% |
| B | 35% |
| C | 24% |
| D-F | 13% |
server_tokens off; в nginx.camera=(), microphone=(), geolocation=().Security Headers — это HTTP-заголовки, которые помогают защитить веб-приложения от различных угроз, таких как XSS, Clickjacking и другие уязвимости. В 2026 году важность этих заголовков возрастает в связи с увеличением числа кибератак. Например, согласно данным, более половины сайтов в Рунете не используют необходимые заголовки, что делает их уязвимыми. Основные заголовки, которые следует использовать: X-Frame-Options, Strict-Transport-Security, X-Content-Type-Options и Content-Security-Policy. При этом поддержка этих заголовков следующая: X-Frame-Options — 71%, Strict-Transport-Security — 64%, X-Content-Type-Options — 56%, Content-Security-Policy — 18%.
В 2026 году важно внедрять основные Security Headers для повышения уровня безопасности веб-приложений. Рассмотрим подробнее каждый из них:
Content-Security-Policy: default-src 'self';X-Content-Type-Options: nosniff обеспечит дополнительную защиту.X-Frame-Options: DENY для полной блокировки.Strict-Transport-Security: max-age=31536000; includeSubDomains.Эти заголовки должны быть включены в конфигурацию сервера для обеспечения максимальной безопасности.
Для внедрения Security Headers в веб-приложение, необходимо добавить соответствующие директивы в конфигурацию вашего веб-сервера. Рассмотрим пример для сервера Nginx:
server {
listen 80;
server_name example.com;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /path/to/certificate.crt;
ssl_certificate_key /path/to/private.key;
add_header Content-Security-Policy "default-src 'self';";
add_header X-Content-Type-Options nosniff;
add_header X-Frame-Options DENY;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";
}
После внесения изменений рекомендуется протестировать конфигурацию с помощью инструментов, таких как Security Headers, чтобы убедиться, что заголовки корректно применяются. В 2026 году важно не только внедрять эти заголовки, но и регулярно проверять их актуальность и эффективность.
В 2026 году Security Headers становятся критически важными для защиты веб-ресурсов в Рунете. Эти заголовки помогают предотвратить атаки, такие как XSS и Clickjacking, и обеспечивают безопасное взаимодействие пользователей с сайтами. Рекомендуется внедрять минимум 5-7 заголовков, таких как Content-Security-Policy, X-Content-Type-Options и X-Frame-Options, с учетом специфики вашего ресурса.
Согласно последним данным, более 64% сайтов в Рунете начали использовать заголовок Strict-Transport-Security, 71% — X-Frame-Options, 56% — X-Content-Type-Options, 18% — Content-Security-Policy, 31% — Referrer-Policy, 9% — Permissions-Policy и 14% — Cross-Origin-*. При этом лишь около четверти сайтов внедрили комплексные настройки. Это подчёркивает необходимость повышения осведомлённости и практики среди веб-разработчиков и администраторов.
Для глубокого анализа и настройки Security Headers, рекомендуется использовать инструменты, такие как SecurityHeaders.com или Mozilla Observatory, которые предоставляют информацию о текущем состоянии заголовков на вашем сайте и советы по их улучшению.
Рассмотрим пример конфигурации для веб-сервера Nginx, который включает в себя основные Security Headers:
server {
listen 80;
server_name example.com;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";
add_header Content-Security-Policy "default-src 'self'; script-src 'self' https://trustedscripts.example.com";
add_header X-Content-Type-Options "nosniff";
add_header X-Frame-Options "DENY";
add_header X-XSS-Protection "1; mode=block";
}
В этом примере Strict-Transport-Security помогает защитить сайт от атак типа man-in-the-middle, а Content-Security-Policy ограничивает источники данных, что значительно снижает риски XSS-атак.
Анализ показывает, что более 71% атак на сайты в Рунете были связаны с недостаточной защитой через Security Headers. Чтобы улучшить безопасность, веб-разработчики должны следовать ряду рекомендаций.
Следуя этим рекомендациям, можно существенно повысить уровень безопасности сайтов в Рунете и минимизировать риски, связанные с кибератаками.
Инструмент проверяет HTTP-заголовки безопасности, конфигурацию SSL/TLS, утечки серверной информации и защиту от распространённых атак (XSS, clickjacking, MIMEsniffing). Оценка от A до F показывает общий уровень защиты.
Проверка Content-Security-Policy, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy и других.
Версия TLS, срок сертификата, цепочка доверия, поддержка HSTS.
Поиск раскрытых серверных версий, debug-режимов, открытых конфигов и директорий.
Детальный отчёт с объяснением каждой проблемы и конкретными шагами для исправления.
аудит HTTP-заголовков
проверка конфигурации
CSP и HSTS настройка
соответствие стандартам
Strict-Transport-Security.Server: Apache/2.4.52 помогает атакующим подобрать эксплойт. Скройте версию.DENY или SAMEORIGIN.nosniff браузер может интерпретировать файлы неправильно (MIME sniffing).Content-Security-Policy-Report-Only, мониторьте нарушения, затем включите.Server, X-Powered-By, X-AspNet-Version из ответов.История security-проверок и мониторинг HTTP-заголовков безопасности.
Зарегистрироваться (FREE)Сбор данных Q1 2026. Обновление ежеквартально.
Да, со ссылкой на Enterno.io.
Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.