Mozilla 又给我们带来一个网站安全性跑分！一大波 A+ 教程即将来袭了吧

Mozilla

安全性

网站

跑

73 条回复 • 2016-08-29 12:38:48 +08:00

1

int64ago

2016 年 8 月 28 日 via Android

居然 D

2

Aspx

2016 年 8 月 28 日

测试好几个国内大型网站都是 F

3

ivmm

OP

2016 年 8 月 28 日

@Aspx
@int64ago

这货的标准很严格的。如果 http 和 https 共存的话，没有强制 HSTS 做好的话，妥妥的 F

4

crazycen

2016 年 8 月 28 日 via iPhone

我的才 D+

5

ys0290

2016 年 8 月 28 日 via iPhone

0 分

6

wql

2016 年 8 月 28 日 via Android

居然是 A ，死在 CSP 上面……

7

yangg

2016 年 8 月 28 日 via iPhone

不错， b

8

ehs2013

2016 年 8 月 28 日

不敢上 HSTS ， F 就 F 吧

9

xiaoc19

2016 年 8 月 28 日

4

扫描了下 https://mozilla.github.io
是 F ，寄人篱下啊

10

Soaper

2016 年 8 月 28 日 via Android

C+什么鬼。。。

11

Tink

PRO

2016 年 8 月 28 日

F

12

Chinternet

2016 年 8 月 28 日 via Android

小破站 B+

13

kingcos

2016 年 8 月 28 日

F 。。。

14

yangg

2016 年 8 月 28 日 via iPhone

并不会 a+， unsafe-inline 很少人能开吧

15

caola

2016 年 8 月 28 日

在 ssllabs 测试是 A+ ，反而在这里只得了个 C-，看来又要加强安全了。

16

Leafove

2016 年 8 月 28 日

无脑追求 A+其实已经偏离本质了...除非是个人小博客不然很多设定是不可能的.

17

qgy18

2016 年 8 月 28 日

2

https://imququ.com 仅仅是 A ， unsafe-inline 目前确实没办法去掉。

18

wombat

2016 年 8 月 28 日 via Android

F😂

19

zander

2016 年 8 月 28 日

v2ex.com:F

20

loading

2016 年 8 月 28 日 via Android

@zander 和大 v 站一个等级～

21

feather12315

2016 年 8 月 28 日 via Android

一个静态 blog ， B …

22

pubby

2016 年 8 月 28 日 via Android

0 分

23

qqmishi

2016 年 8 月 28 日

果然，学校的网站 score:0

24

Arnie97

2016 年 8 月 28 日 via Android

测了好几个 SSL Labs 得分 A 的网站，结果全军覆没，都是 F …

25

Pseric

2016 年 8 月 28 日

不过评分能怎样呢？真的安全才重要吧！

26

welsmann

2016 年 8 月 28 日

得了个 D ＋..

Google 主站是 D ， Baidu 主站是 F

27

wql

2016 年 8 月 28 日 via Android

unsafe inline 去不掉

28

crazycen

2016 年 8 月 28 日

优化了一下，到 A+了！！！！

29

Zohar

2016 年 8 月 28 日 via Android

Mark.

30

em2046

2016 年 8 月 28 日

F Github 的锅

31

UnisandK

2016 年 8 月 28 日

丢图跑

32

VmuTargh

2016 年 8 月 28 日 via Android

Etula.me HTTP 头得了 A TLS 部分得了 m

33

palxex

2016 年 8 月 28 日

1

HSTS preloading 居然被放到这么高的位置。问题是这种 [解决方案] 算什么啊，搞了那么久的 PKI 体系最后却指望浏览器里硬编码一个列表，总有种缝缝补补又三年的破烂感。

34

imn1

2016 年 8 月 28 日

临时工是最强的， A+也能全灭

35

fetich

2016 年 8 月 28 日

moodyz.com 都有 C 评级

36

wzxjohn

2016 年 8 月 28 日

居然得了 B ，还不错啊！

37

VmuTargh

2016 年 8 月 28 日 via Android

@qgy18 Mozilla 窝记得最推崇 in line 了现在 hhhhh

38

mingyun

2016 年 8 月 28 日

加载好慢， qq.com F

39

fengxing

2016 年 8 月 28 日

google 主站是 C-， mozilla 自家的主页也是 C-

40

DaCong

2016 年 8 月 28 日

似乎 github.io 下的站点全部是 F

41

bubuyu

2016 年 8 月 28 日

http://bubuyu.u.qiniudn.com/屏幕快照%202016-08-28%20 下午 5.16.37.png
Mozilla 自己都是 D+

42

jhdxr

2016 年 8 月 28 日

github.com A+

43

Quaintjade

2016 年 8 月 28 日

@palxex
HSTS preloading 算是不得已的过渡方案吧。
也许某天浏览器默认加载 https ，非 https 必须手动加上 http://

44

palxex

2016 年 8 月 28 日

@Quaintjade 善。其实 mozilla 对 letsencrypt 的支持和对 h2c 的抗拒应该说明他们的愿景就是如此。但如果是那样， HSTS 、 CSP 乃至 XFO XXP 什么的 header 就都只是过渡用的，只对 http 站点有意义。对 google/github 这些纯 https 站点进行安全评估时完全没必要评价这几点，遑论减分。感觉他们现在有点逻辑混乱。

45

lan894734188

2016 年 8 月 28 日 via Android

c+

46

wql

2016 年 8 月 28 日 via Android

@Quaintjade 善哉。多希望 HSTS 之类的只是过渡方案。

47

Shura

2016 年 8 月 28 日 via Android

F ， 15 分

48

qgy18

2016 年 8 月 28 日

终于 A+ 了，把所有 inline script/style 都改为 CSP2 的 Hashes 了：

content-security-policy:default-src 'none'; script-src https: blob: 'sha256-EXpjqnq6bBRKNU86n1jt5PUYCgxDgsOYN9mgQ7FKEqA=' 'sha256-tuN/taV0PwCmTK7/KXJPHfAlzRCRyQEh+ySIHGS/bdQ=' 'sha256-LmqWYXdCMPeaYES0GLxTcg4GG9lRP4ROcbzNCRG7k+0=' 'sha256-8sQo5qZ4ZgO0VeeYu0GN05LDWyCB/4n11qozSbNrUw4='; style-src https: 'sha256-FHhdZjNbbxK6uspgpn8A4MRnv/bTyi96J5BoOP74SVo=' 'sha256-vJR8aVOblGM4d6XxhWU0fCzVI+mvFKpLBHppx/4p3hc='; img-src https: data:; child-src https:; connect-src 'self'; frame-src https://disqus.com;

头部这么多看着真是蛋疼，虽然说有 HTTP/2 的 HPack 。

更为蛋疼的是 safari 仍不支持 CSP2 ，只能 UA 判断下。

49

qgy18

2016 年 8 月 28 日

放上地址：
https://mozilla.github.io/http-observatory-website/analyze.html?host=imququ.com

50

superxzr

2016 年 8 月 28 日

F 跪... 不想改了，将就

51

seadir

2016 年 8 月 28 日

0 分。。。 cloudfront 的锅。。。真没办法， s3 不支持添加 HSTS header

52

wujunze

2016 年 8 月 28 日

F+1

53

ivmm

OP

2016 年 8 月 28 日

@qgy18 大神就是大神

54

wql

2016 年 8 月 28 日 via Android

@qgy18 这是有一点求本逐末的意思了吧……

55

rayyang88

2016 年 8 月 28 日

google 竟然是 D ，不会吧

56

wdlth

2016 年 8 月 28 日

CloudFlare 官网是 D ……
VeriSign 官网是 F ……

57

huihuimoe

2016 年 8 月 28 日 via Android

B+ www 還不錯～

58

qgy18

2016 年 8 月 28 日

@wql 嗯，如果为了追求得分而损失功能或体验，确实得不偿失。

所以我严格安装了 CSP2 的 Hashes 规范处理了内联 style 和 script ，也算是更遵守规范了吧。

59

qgy18

2016 年 8 月 28 日

@qgy18 那 CSP2 的 Hashes 又是什么鬼呢？

是时候来一发广告了， https://imququ.com/post/content-security-policy-level-2.html#toc-1-0

60

kn007

2016 年 8 月 28 日

@qgy18 你这强迫症啊。。

61

Quaintjade

2016 年 8 月 28 日

@qgy18
看了下 console 似乎还是有资源被 block 住了。
话说 WP 插件多了之后一堆 inline ，手动改好像不太现实。

62

qgy18

2016 年 8 月 29 日

@Quaintjade 应该是注入的 css 。

63

qgy18

2016 年 8 月 29 日

@Quaintjade 例如 firefox 的 uBlock 就会往页面注入 css ，被 block 了也挺好。

64

RobertYang

2016 年 8 月 29 日 via Android

又有一波 A+教程了不过这个真的好严格
@Zohar 你的是 C 几天前就玩过了 2333

65

wwek

2016 年 8 月 29 日

非常严格

66

4679kun

2016 年 8 月 29 日 via Android

67

4679kun

2016 年 8 月 29 日 via Android

好歹我也是拿过 100 分的男人(*ﾟーﾟ)

68

wql

2016 年 8 月 29 日 via Android

@4679kun woc100 分？怎么做到的？我目前只做到 95

69

4679kun

2016 年 8 月 29 日

@wql 你哪个项目扣分了

70

wql

2016 年 8 月 29 日 via Android

@4679kun iFrame Sandbox 和 CSP (后面一项没法改，处于兼容还要保留 unsafe-inline )

71

csy123

2016 年 8 月 29 日

不支持 HTTPS ，妥妥的 F 呀

72

4679kun

2016 年 8 月 29 日

@wql iframe sandbox 我是这样解决的 https://pastebin.mozilla.org/8905707
CSP 我从别人那里抄的就一句 frame-ancestors 'self'

73

zhicheng

2016 年 8 月 29 日

developer.mozilla.com 是 D 。

Mozilla 又给我们带来一个网站安全性跑分！ 一大波 A+ 教程即将来袭了吧

Mozilla 又给我们带来一个网站安全性跑分！一大波 A+ 教程即将来袭了吧