Злоумышленники имеют широкие возможности в вопросе организации атак на пользователей сайтов вследствие нежелания их владельцев использовать HTTP-заголовки, ориентированные на безопасность.
В современных браузерах присутствует функционал для защиты пользователей от возможных уязвимостей, существующих в веб-приложениях. Для его использования необходимо активировать данный защитный механизм, используя HTTP-заголовки.
На протяжении последних нескольких лет в протокол HTTP были внесены изменения и добавлены новые заголовки, которые направлены на обеспечение безопасности посетителей веб-ресурсов. Почти во всех современных браузерах присутствует поддержка обработки этих заголовков, что позволяет защищать пользователя от XSS-атак или хищения кликов даже в тех случаях, когда сам защитный механизм от XSS выключен. Однако на деле никто не пользуется этими заголовками.
В рамках небольшого исследования была проведена проверка 20 наиболее популярных сайтов по рейтингу Alexa. Из 20 ресурсов лишь Facebook и Yahoo! Japan были удостоены наивысшей оценки A.
В списке популярных ресурсов, которые были просканированы с использованием бесплатной онлайн-службы от High-Tech Bridge, самую низкую оценку F получили почти все сайты. Не были удостоены оценки выше С даже порталы таких компаний, как Google, Microsoft и Twitter.
На сайте OWASP можно ознакомиться с примерами того, как нужно правильно пользоваться HTTP-заголовками. Владельцы сайтов могут осуществить их установку путем настройки веб-сервера и таким образом обеспечить защиту посетителей веб-ресурсов от вероятных атак.