Mozilla最近發布了一款名為Observatory的網站安全分析工具，意在鼓勵開發者和系統管理員增強自己網站的安全配置。

\\

該工具的用法非常簡單：輸入網站URL，即可訪問并分析網站HTTP標頭，隨后可針對網站安全性提供數字形式的分數和字母代表的安全級別。該工具可分析大量安全配置，取決于所發現問題的嚴重程度，會通過扣分的方式對分數進行修正。該工具檢查的主要范圍包括：

\\

• Cookie\\t
• 跨源資源共享（CORS）\\t
• 內容安全策略\\t
• HTTP公鑰固定（Public Key Pinning）\\t
• HTTP嚴格傳輸安全\\t
• 重定向\\t
• 子資源完整性（Subresource Integrity）\\t
• X-Content-Type-Options\\t
• X-Frame-Options\\t
• X-XSS-Protection\

根據Mozilla對評分細節的介紹，每個網站默認可得到100分，隨后將根據具體配置扣分或加分：

\\\

所有網站的基準分為100分，以此為基礎進行扣分或加分。最低分為0分，但最高分沒有上限。目前HTTP Observatory可給出的理論最高分為130。但是要注意，盡管用字母代表的安全等級范圍和修正后的分數在本質上是隨機的，但實際上這些評分源自業界專家的反饋，代表了某一網站通過測試或測試失敗的可能性。

\\\

例如在CORS測試中，包含CORS標頭但僅限于特定域名的網站不會因此被扣分，然而如果同一個網站在使用CORS XML文件的同時允許所有域名，將會扣掉50分，50分是修正分中可以扣除的最大分值。

\\

Observatory由一個核心庫，一個CLI，以及一個Web界面組成。CLI可供開發者將評分功能用腳本的方式納入測試套件或部署邏輯中。對于只需要偶爾使用的用戶，可以在Web界面上輸入網站地址并設置其他選項。該工具還可以調用其他安全分析工具，例如securityheaders.io和hstspreload.appspot.com，借此提供更深入的檢測分析。

\\

在該工具的網站上，每個類別都提供了一個指向Mozilla相關話題文檔的鏈接，開發者可以通過這個鏈接了解如何以更好的方式實現安全策略。Mozilla提供的CORS指南中稱：

\\\

除非明確需要，否則不應出現[CORS信息]。此類信息的用例包括為JavaScript/CSS庫和公開API端點提供托管的內容交付網絡（CDN）等。如果使用了此類信息，必須將其鎖定至特有功能必須要用的很少的幾個源和資源上。

\\\

Observatory網站本身在該工具中獲得了A+以及120分的成績，而mozilla.org獲得了D+以及40分的成績。該項目已開源并已發布至GitHub。

\\

查看英文原文：Mozilla's Observatory Website Security Analysis Tool Available

總結

以上是生活随笔為你收集整理的Mozilla网站安全分析工具Observatory已发布的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。