Большинство web-сайтов не используют безопасные HTTP-заголовки

Нежелание использовать ориентированные на безопасность HTTP-заголовки со стороны владельцев сайтов позволяет злоумышленникам осуществлять атаки на пользователей.

Современные браузеры позволяют защитить пользователей от потенциальных уязвимостей в web-приложениях. Для этого требуется активировать эту защиту с помощью HTTP-заголовков.

В течение нескольких последних лет в протокол HTTP были внесены корректировки и представлены новые заголовки, ориентированные на безопасность посетителей сайтов. Практически все современные браузеры поддерживают обработку этих заголовков и могут защитить пользователя от XSS-атаки или хищения кликов, даже если защита от XSS выключена в браузере пользователя. Но, к сожалению, никто не использует эти заголовки на практике.

В ходе небольшого исследования были проверены TOP-20 самых популярных сайтов по рейтингу Alexa. Из 20 сайтов только 2 сайта Facebook и Yahoo! Japan получили оценку A.

Согласно списку просканированных сайтов с помощью бесплатного онлайн-сервиса от High-Tech Bridge, оценка F (самая низкая) наблюдается практически у всех сайтов. Даже сайты крупнейших IT-компаний Google.com , Microsoft.com , twitter.com не получили оценку выше С.

Примеры правильного использования HTTP-заголовков доступны на сайте OWASP. Все заголовки можно установить путем настройки web-сервера и защитить пользователей вашего сайта от потенциальных атак.