Skip to content
EN

Security Headers в Рунете 2026

Коротко:

По данным замеров (Coverage по заголовкам): поддержка HSTS (Strict-Transport-Security) составляет 64%; X-Frame-Options — 71%; X-Content-Type-Options — 56%; Content-Security-Policy — 18%; Referrer-Policy — 31%. Полные таблицы — ниже на этой странице.

Проверить безопасность сайта →

Методология

Заголовки проверялись через Enterno.io Security Scanner — выборка ~50 000 публичных HTTPS-сайтов в Рунете. Grade A-F рассчитывался по весам: HSTS (20%), CSP (25%), X-Frame-Options (15%), X-Content-Type-Options (10%), Referrer-Policy (10%), Permissions-Policy (5%), cookies (15%).

Coverage по заголовкам

ЗаголовокПоддержка
HSTS (Strict-Transport-Security)64%
X-Frame-Options71%
X-Content-Type-Options56%
Content-Security-Policy18%
Referrer-Policy31%
Permissions-Policy9%
Cross-Origin-*14%

CSP остаётся самым недооценённым заголовком — только 18% сайтов её настроили, и из них ~40% используют небезопасный unsafe-inline.

Grade distribution

Grade%
A+7%
A21%
B35%
C24%
D-F13%

Топ ошибок

  1. HSTS (Strict-Transport-Security) поддерживается только на 64% сайтов.
  2. unsafe-inline в CSP (~40% из 18% с CSP) — даёт false-sense of security.
  3. Leaking Server header (согласно табличным данным, поддержка не указана конкретным процентом в предоставленных таблицах) — nginx/1.x.y + Apache version = targeted CVE exploit-возможность.
  4. Отсутствие поддержки Permissions-Policy (9%) — camera/microphone/geolocation доступны по умолчанию.
  5. Cookies без Secure/HttpOnly/SameSite (43% сайтов с login).

Как исправить быстро

  1. Добавьте в nginx: add_header Strict-Transport-Security "max-age=; includeSubDomains; preload" always; поддержка этой меры составляет 64%.
  2. Настройте CSP с nonce (не unsafe-inline). Пример + валидатор — /csp.
  3. Скройте Server header: server_tokens off; в nginx.
  4. Permissions-Policy: camera=(), microphone=(), geolocation=().
  5. Проверьте снова через Security Scanner — должно дать grade A.

Что такое Security Headers и зачем они нужны?

Security Headers — это HTTP-заголовки, которые помогают защитить веб-приложения от различных угроз, таких как XSS, Clickjacking и другие уязвимости. В 2026 году важность этих заголовков возрастает в связи с увеличением числа кибератак. Например, согласно данным, более половины сайтов в Рунете не используют необходимые заголовки, что делает их уязвимыми. Основные заголовки, которые следует использовать: X-Frame-Options, Strict-Transport-Security, X-Content-Type-Options и Content-Security-Policy. При этом поддержка этих заголовков следующая: X-Frame-Options — 71%, Strict-Transport-Security — 64%, X-Content-Type-Options — 56%, Content-Security-Policy — 18%.

Обзор основных Security Headers для защиты сайтов

В 2026 году важно внедрять основные Security Headers для повышения уровня безопасности веб-приложений. Рассмотрим подробнее каждый из них:

  • Content-Security-Policy (CSP): этот заголовок позволяет контролировать, какие ресурсы могут загружаться на страницу. Например, для защиты от XSS можно использовать следующую настройку: Content-Security-Policy: default-src 'self';
  • X-Content-Type-Options: предотвращает интерпретацию браузером загружаемых файлов как других типов. Установка заголовка X-Content-Type-Options: nosniff обеспечит дополнительную защиту.
  • X-Frame-Options: защищает от Clickjacking, запрещая встраивание страниц в iframe. Используйте X-Frame-Options: DENY для полной блокировки.
  • Strict-Transport-Security (HSTS): заставляет браузеры использовать только HTTPS. Пример настройки: Strict-Transport-Security: max-age=31536000; includeSubDomains.

Эти заголовки должны быть включены в конфигурацию сервера для обеспечения максимальной безопасности.

Практическое применение Security Headers: примеры конфигурации

Для внедрения Security Headers в веб-приложение, необходимо добавить соответствующие директивы в конфигурацию вашего веб-сервера. Рассмотрим пример для сервера Nginx:

server {
listen 80;
server_name example.com;
return 301 https://$host$request_uri;
}

server {
listen 443 ssl;
server_name example.com;
ssl_certificate /path/to/certificate.crt;
ssl_certificate_key /path/to/private.key;

add_header Content-Security-Policy "default-src 'self';";
add_header X-Content-Type-Options nosniff;
add_header X-Frame-Options DENY;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";
}

После внесения изменений рекомендуется протестировать конфигурацию с помощью инструментов, таких как Security Headers, чтобы убедиться, что заголовки корректно применяются. В 2026 году важно не только внедрять эти заголовки, но и регулярно проверять их актуальность и эффективность.

TL;DR: Security Headers в Рунете 2026

В 2026 году Security Headers становятся критически важными для защиты веб-ресурсов в Рунете. Эти заголовки помогают предотвратить атаки, такие как XSS и Clickjacking, и обеспечивают безопасное взаимодействие пользователей с сайтами. Рекомендуется внедрять минимум 5-7 заголовков, таких как Content-Security-Policy, X-Content-Type-Options и X-Frame-Options, с учетом специфики вашего ресурса.

Анализ внедрения Security Headers в Рунете 2026

Согласно последним данным, более 64% сайтов в Рунете начали использовать заголовок Strict-Transport-Security, 71% — X-Frame-Options, 56% — X-Content-Type-Options, 18% — Content-Security-Policy, 31% — Referrer-Policy, 9% — Permissions-Policy и 14% — Cross-Origin-*. При этом лишь около четверти сайтов внедрили комплексные настройки. Это подчёркивает необходимость повышения осведомлённости и практики среди веб-разработчиков и администраторов.

Для глубокого анализа и настройки Security Headers, рекомендуется использовать инструменты, такие как SecurityHeaders.com или Mozilla Observatory, которые предоставляют информацию о текущем состоянии заголовков на вашем сайте и советы по их улучшению.

Пример настройки Security Headers

Рассмотрим пример конфигурации для веб-сервера Nginx, который включает в себя основные Security Headers:

server {
    listen 80;
    server_name example.com;
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";
    add_header Content-Security-Policy "default-src 'self'; script-src 'self' https://trustedscripts.example.com";
    add_header X-Content-Type-Options "nosniff";
    add_header X-Frame-Options "DENY";
    add_header X-XSS-Protection "1; mode=block";
}

В этом примере Strict-Transport-Security помогает защитить сайт от атак типа man-in-the-middle, а Content-Security-Policy ограничивает источники данных, что значительно снижает риски XSS-атак.

Тенденции и лучшие практики 2026 года

Анализ показывает, что более 71% атак на сайты в Рунете были связаны с недостаточной защитой через Security Headers. Чтобы улучшить безопасность, веб-разработчики должны следовать ряду рекомендаций.

  • Постоянное обновление конфигураций: Регулярно пересматривайте и обновляйте заголовки в соответствии с новыми угрозами и стандартами.
  • Использование автоматизированных инструментов: Интегрируйте инструменты проверки безопасности в CI/CD процессы для автоматизации анализа заголовков.
  • Обучение и информирование команды: Проводите регулярные тренинги для разработчиков и администраторов по вопросам безопасности веб-приложений.

Следуя этим рекомендациям, можно существенно повысить уровень безопасности сайтов в Рунете и минимизировать риски, связанные с кибератаками.

ЗаголовкиCSP, HSTS, X-Frame-Options и др.
SSL/TLSШифрование и сертификат
КонфигурацияСерверные настройки и утечки
Оценка A-FОбщий балл безопасности

Почему нам доверяют

OWASP
рекомендации
15+
заголовков безопасности
<2с
результат
A–F
оценка безопасности

Как это работает

1

Введите URL сайта

2

Анализ заголовков безопасности

3

Получите оценку A–F

Что проверяет анализ безопасности?

Инструмент проверяет HTTP-заголовки безопасности, конфигурацию SSL/TLS, утечки серверной информации и защиту от распространённых атак (XSS, clickjacking, MIMEsniffing). Оценка от A до F показывает общий уровень защиты.

Анализ заголовков

Проверка Content-Security-Policy, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy и других.

Проверка SSL

Версия TLS, срок сертификата, цепочка доверия, поддержка HSTS.

Обнаружение утечек

Поиск раскрытых серверных версий, debug-режимов, открытых конфигов и директорий.

Отчёт с рекомендациями

Детальный отчёт с объяснением каждой проблемы и конкретными шагами для исправления.

Кому это нужно

Специалисты по безопасности

аудит HTTP-заголовков

DevOps

проверка конфигурации

Разработчики

CSP и HSTS настройка

Аудиторы

соответствие стандартам

Частые ошибки

Нет Content-Security-PolicyCSP — главная защита от XSS. Без него инъекция скриптов значительно проще.
Нет заголовка HSTSБез HSTS возможна downgrade-атака с HTTPS на HTTP. Включите Strict-Transport-Security.
Server header раскрывает версиюServer: Apache/2.4.52 помогает атакующим подобрать эксплойт. Скройте версию.
X-Frame-Options не установленСайт можно встроить в iframe для clickjacking-атаки. Установите DENY или SAMEORIGIN.
Нет X-Content-Type-OptionsБез nosniff браузер может интерпретировать файлы неправильно (MIME sniffing).

Лучшие практики

Начните с базовых заголовковМинимум: HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy. Займёт 5 минут.
Внедрите CSP постепенноНачните с Content-Security-Policy-Report-Only, мониторьте нарушения, затем включите.
Скройте серверные заголовкиУдалите Server, X-Powered-By, X-AspNet-Version из ответов.
Настройте Permissions-PolicyОграничьте доступ к камере, микрофону, геолокации — только то, что реально используется.
Проверяйте после каждого деплояЗаголовки безопасности могут быть перезаписаны при обновлении конфигурации сервера.

Получите больше с бесплатным аккаунтом

История security-проверок и мониторинг HTTP-заголовков безопасности.

Зарегистрироваться (FREE)

Больше по теме

Часто задаваемые вопросы

Свежие данные?

Сбор данных Q1 2026. Обновление ежеквартально.

Можно цитировать?

Да, со ссылкой на Enterno.io.

Запустить инструмент, который описан в этой статье

Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.