Mozilla最近發(fā)布了一款名為Observatory的網(wǎng)站安全分析工具，意在鼓勵開發(fā)者和系統(tǒng)管理員增強自己網(wǎng)站的安全配置。

\\

該工具的用法非常簡單：輸入網(wǎng)站URL，即可訪問并分析網(wǎng)站HTTP標頭，隨后可針對網(wǎng)站安全性提供數(shù)字形式的分數(shù)和字母代表的安全級別。該工具可分析大量安全配置，取決于所發(fā)現(xiàn)問題的嚴重程度，會通過扣分的方式對分數(shù)進行修正。該工具檢查的主要范圍包括：

\\

• Cookie\\t
• 跨源資源共享（CORS）\\t
• 內(nèi)容安全策略\\t
• HTTP公鑰固定（Public Key Pinning）\\t
• HTTP嚴格傳輸安全\\t
• 重定向\\t
• 子資源完整性（Subresource Integrity）\\t
• X-Content-Type-Options\\t
• X-Frame-Options\\t
• X-XSS-Protection\

根據(jù)Mozilla對評分細節(jié)的介紹，每個網(wǎng)站默認可得到100分，隨后將根據(jù)具體配置扣分或加分：

\\\

所有網(wǎng)站的基準分為100分，以此為基礎(chǔ)進行扣分或加分。最低分為0分，但最高分沒有上限。目前HTTP Observatory可給出的理論最高分為130。但是要注意，盡管用字母代表的安全等級范圍和修正后的分數(shù)在本質(zhì)上是隨機的，但實際上這些評分源自業(yè)界專家的反饋，代表了某一網(wǎng)站通過測試或測試失敗的可能性。

\\\

例如在CORS測試中，包含CORS標頭但僅限于特定域名的網(wǎng)站不會因此被扣分，然而如果同一個網(wǎng)站在使用CORS XML文件的同時允許所有域名，將會扣掉50分，50分是修正分中可以扣除的最大分值。

\\

Observatory由一個核心庫，一個CLI，以及一個Web界面組成。CLI可供開發(fā)者將評分功能用腳本的方式納入測試套件或部署邏輯中。對于只需要偶爾使用的用戶，可以在Web界面上輸入網(wǎng)站地址并設(shè)置其他選項。該工具還可以調(diào)用其他安全分析工具，例如securityheaders.io和hstspreload.appspot.com，借此提供更深入的檢測分析。

\\

在該工具的網(wǎng)站上，每個類別都提供了一個指向Mozilla相關(guān)話題文檔的鏈接，開發(fā)者可以通過這個鏈接了解如何以更好的方式實現(xiàn)安全策略。Mozilla提供的CORS指南中稱：

\\\

除非明確需要，否則不應(yīng)出現(xiàn)[CORS信息]。此類信息的用例包括為JavaScript/CSS庫和公開API端點提供托管的內(nèi)容交付網(wǎng)絡(luò)（CDN）等。如果使用了此類信息，必須將其鎖定至特有功能必須要用的很少的幾個源和資源上。

\\\

Observatory網(wǎng)站本身在該工具中獲得了A+以及120分的成績，而mozilla.org獲得了D+以及40分的成績。該項目已開源并已發(fā)布至GitHub。

\\

查看英文原文：Mozilla's Observatory Website Security Analysis Tool Available

總結(jié)

以上是生活随笔為你收集整理的Mozilla网站安全分析工具Observatory已发布的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。