主要10,000サイトのセキュリティ関連HTTPヘッダー調査結果
Alexaのトップ10,000Webサイトに対して、セキュリティ関連のHTTPヘッダーや、モバイル端末での違いなどを調査した結果が公表されています。調査にはUA-Testerというツールが使われています。レポートは2011年3月14日段階で収集した物を解析したとのこと。
セキュリティ関連のHTTPヘッダーの使用状況の調査は次の4項目について行われています。
- X-XSS-Protection
- XSS Filterを無効にしたりするなど制御するためのヘッダーです。
- このヘッダーを含んでいたサイトは1.52%で、そのうち8.7%が無効化(0を指定)していたとのこと。
- X-Frame-Options
- コンテンツを他のフレーム内での表示を制御するためのヘッダーで、Clickjacking対策として有効です。
- 最近の主要なブラウザで実装されているにもかかわらず、0.54%しか使われていないとのこと。
- Access-Control-Allow-Origin
- Strict-Transport-Security
- https://での通信を強制したいときに指定するヘッダーです。
- 0.01%のサイトで使われていたとのこと。要は1サイトだけですね。
その他、ユーザーエージェントによって返すServerヘッダーの種類の調査や、ブロックされたユーザーエージェントの調査などが行われています。ちなみにブロックされるユーザーエージェントの上位は、Nikto、Wget、cURLだそうです。
調査データの生CSVデータはこちらからダウンロードできます。