Security Headers в Рунете 2026
Анализ security-заголовков по данным Enterno.io Security Scanner за Q1 2026: HSTS поддерживают 64% сайтов (преимущественно через Cloudflare), CSP — только 18%, X-Frame-Options — 71%, Permissions-Policy — 9%. Средний security grade — B. Топ причины C/D: отсутствие HSTS, слабый CSP или unsafe-inline, leaking Server header.
Методология
Заголовки проверялись через Enterno.io Security Scanner — выборка ~50 000 публичных HTTPS-сайтов в Рунете. Grade A-F рассчитывался по весам: HSTS (20%), CSP (25%), X-Frame-Options (15%), X-Content-Type-Options (10%), Referrer-Policy (10%), Permissions-Policy (5%), cookies (15%).
Coverage по заголовкам
| Заголовок | Поддержка |
|---|---|
| HSTS (Strict-Transport-Security) | 64% |
| X-Frame-Options | 71% |
| X-Content-Type-Options | 56% |
| Content-Security-Policy | 18% |
| Referrer-Policy | 31% |
| Permissions-Policy | 9% |
| Cross-Origin-* | 14% |
CSP остаётся самым недооценённым заголовком — только 18% сайтов её настроили, и из них ~40% используют небезопасный unsafe-inline.
Grade distribution
| Grade | % |
|---|---|
| A+ | 7% |
| A | 21% |
| B | 35% |
| C | 24% |
| D-F | 13% |
Топ ошибок
- Нет HSTS (36% сайтов) — не указан Strict-Transport-Security, возможен downgrade-attack.
- unsafe-inline в CSP (~40% из 18% с CSP) — даёт false-sense of security.
- Leaking Server header (52% сайтов) — nginx/1.x.y + Apache version = targeted CVE exploit-возможность.
- Missing Permissions-Policy (91%) — camera/microphone/geolocation доступны default.
- Cookies без Secure/HttpOnly/SameSite (43% сайтов с login).
Как исправить быстро
- Добавьте в nginx:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; - Настройте CSP с nonce (не unsafe-inline). Пример + валидатор — /csp.
- Скройте Server header:
server_tokens off;в nginx. - Permissions-Policy:
camera=(), microphone=(), geolocation=(). - Проверьте снова через Security Scanner — должно дать grade A.
Почему нам доверяют
Как это работает
Введите URL сайта
Анализ заголовков безопасности
Получите оценку A–F
Что проверяет анализ безопасности?
Инструмент проверяет HTTP-заголовки безопасности, конфигурацию SSL/TLS, утечки серверной информации и защиту от распространённых атак (XSS, clickjacking, MIMEsniffing). Оценка от A до F показывает общий уровень защиты.
Анализ заголовков
Проверка Content-Security-Policy, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy и других.
Проверка SSL
Версия TLS, срок сертификата, цепочка доверия, поддержка HSTS.
Обнаружение утечек
Поиск раскрытых серверных версий, debug-режимов, открытых конфигов и директорий.
Отчёт с рекомендациями
Детальный отчёт с объяснением каждой проблемы и конкретными шагами для исправления.
Кому это нужно
Специалисты по безопасности
аудит HTTP-заголовков
DevOps
проверка конфигурации
Разработчики
CSP и HSTS настройка
Аудиторы
соответствие стандартам
Частые ошибки
Strict-Transport-Security.Server: Apache/2.4.52 помогает атакующим подобрать эксплойт. Скройте версию.DENY или SAMEORIGIN.nosniff браузер может интерпретировать файлы неправильно (MIME sniffing).Лучшие практики
Content-Security-Policy-Report-Only, мониторьте нарушения, затем включите.Server, X-Powered-By, X-AspNet-Version из ответов.Получите больше с бесплатным аккаунтом
История security-проверок и мониторинг HTTP-заголовков безопасности.
Зарегистрироваться (FREE)Больше по теме
Гайды
Часто задаваемые вопросы
Свежие данные?
Сбор данных Q1 2026. Обновление ежеквартально.
Можно цитировать?
Да, со ссылкой на Enterno.io.