📊 Исследование 2 500+ сайтов Январь–май 2026

Security headers
на российских сайтах 2026

Name: Security headers на российских сайтах 2026
Creator: AuditGuard
Published: 2026-06-02
License: https://creativecommons.org/licenses/by/4.0/
Keywords: security headers, CSP, HSTS, X-Frame-Options, российские сайты, кибербезопасность

Данные автоматического аудита AuditGuard: состояние заголовков безопасности на публичных сайтах российского интернета. Исследование охватывает 2 500+ доменов из разных отраслей.

При цитировании ссылайтесь: AuditGuard.ru / Исследование 2026

91%

без CSP

76%

без HSTS

83%

без Permissions-Policy

31%

без X-Frame-Options

2 500+

проверено сайтов

Методология

Данные собраны автоматическим аудитом AuditGuard в период январь–май 2026 года. Анализировались публичные домены из разных отраслей российского интернета. Проверялись HTTP-заголовки ответов для главной страницы и нескольких внутренних страниц каждого домена. Итоговое состояние заголовка считалось «отсутствующим» если он не найден ни на одной проверенной странице.

Подробная статистика по заголовкам

Content-Security-Policy (CSP)

Критически важен для защиты от XSS-атак

91%

Из тех, у кого есть CSP: 67% используют unsafe-inline, что существенно снижает защиту.

Strict-Transport-Security (HSTS)

Защита от SSL Stripping и downgrade-атак

76%

У 24% с HSTS max-age менее 6 месяцев — недостаточно для preload-списка браузеров.

Permissions-Policy

Ограничение доступа к API браузера (камера, микрофон)

83%

X-Frame-Options

Защита от Clickjacking

31%

Относительно лучший результат — многие CMSe (WordPress, Bitrix) добавляют по умолчанию.

X-Content-Type-Options

Защита от MIME-sniffing атак

44%

Referrer-Policy

Контроль передачи информации в запросах

62%

По отраслям: кто защищён лучше всего

Отрасль	CSP	HSTS	X-Frame	Без критич. уязв.
Финансы и банки	22%	51%	73%	41%
IT и SaaS	18%	44%	68%	38%
Медицина	6%	18%	29%	14%
Розничная торговля	4%	15%	24%	11%
Образование	5%	14%	31%	13%

* «Без критических уязвимостей» = нет открытых .env, .git и аналогичных находок

Сравнение с мировой статистикой

По данным Mozilla HTTP Observatory (глобальная выборка, 2025 год): 67% сайтов без CSP, 54% без HSTS. Российские сайты в исследовании AuditGuard показывают более высокий процент отсутствия заголовков: 91% без CSP, 76% без HSTS.

Разрыв объясняется несколькими факторами: меньшее распространение облачных провайдеров, автоматически добавляющих security headers (Cloudflare, AWS CloudFront); меньше специализированных DevSecOps-практик в среднем и малом бизнесе; высокая доля сайтов на устаревших версиях WordPress без security-плагинов.

📎 Использование данных

Данные открыты для цитирования с обязательной ссылкой: AuditGuard.ru, «Security headers на российских сайтах 2026».

Пресс-запросы и сотрудничество: info@auditguard.ru