Mozilla最近发布了一款名为Observatory的网站安全分析工具,意在鼓励开发者和系统管理员增强自己网站的安全配置。

\\

该工具的用法非常简单:输入网站URL,即可访问并分析网站HTTP标头,随后可针对网站安全性提供数字形式的分数和字母代表的安全级别。该工具可分析大量安全配置,取决于所发现问题的严重程度,会通过扣分的方式对分数进行修正。该工具检查的主要范围包括:

\\

  • Cookie\\t
  • 跨源资源共享(CORS)\\t
  • 内容安全策略\\t
  • HTTP公钥固定(Public Key Pinning)\\t
  • HTTP严格传输安全\\t
  • 重定向\\t
  • 子资源完整性(Subresource Integrity)\\t
  • X-Content-Type-Options\\t
  • X-Frame-Options\\t
  • X-XSS-Protection\

根据Mozilla对评分细节的介绍,每个网站默认可得到100分,随后将根据具体配置扣分或加分:

\\

\

所有网站的基准分为100分,以此为基础进行扣分或加分。最低分为0分,但最高分没有上限。目前HTTP Observatory可给出的理论最高分为130。但是要注意,尽管用字母代表的安全等级范围和修正后的分数在本质上是随机的,但实际上这些评分源自业界专家的反馈,代表了某一网站通过测试或测试失败的可能性。

\

\\

例如在CORS测试中,包含CORS标头但仅限于特定域名的网站不会因此被扣分,然而如果同一个网站在使用CORS XML文件的同时允许所有域名,将会扣掉50分,50分是修正分中可以扣除的最大分值。

\\

Observatory由一个核心库,一个CLI,以及一个Web界面组成。CLI可供开发者将评分功能用脚本的方式纳入测试套件或部署逻辑中。对于只需要偶尔使用的用户,可以在Web界面上输入网站地址并设置其他选项。该工具还可以调用其他安全分析工具,例如securityheaders.io和hstspreload.appspot.com,借此提供更深入的检测分析。

\\

在该工具的网站上,每个类别都提供了一个指向Mozilla相关话题文档的链接,开发者可以通过这个链接了解如何以更好的方式实现安全策略。Mozilla提供的CORS指南中称:

\\

\

除非明确需要,否则不应出现[CORS信息]。此类信息的用例包括为JavaScript/CSS库和公开API端点提供托管的内容交付网络(CDN)等。如果使用了此类信息,必须将其锁定至特有功能必须要用的很少的几个源和资源上。

\

\\

Observatory网站本身在该工具中获得了A+以及120分的成绩,而mozilla.org获得了D+以及40分的成绩。该项目已开源并已发布至GitHub。

\\

查看英文原文:Mozilla's Observatory Website Security Analysis Tool Available

Mozilla网站安全分析工具Observatory已发布相关推荐

  1. 基于客户端用户行为记录的网站可用性分析工具研究

    基于客户端用户行为记录的网站可用性分析工具研究 白文涛 刘正捷 陈军亮 大连海事大学欧盟可用性中国中心 116026 http://usability.dlmu.edu.cn 摘要:如何改善网站的可用 ...

  2. SiteRAS一款外贸网站SEO分析工具,给您的网站做个深度体检

    RAS全称是Reliability, Availability and Serviceability,是电脑硬件工程上的术语,最初来自IBM公司为其大型主机所做的宣传广告,强调大型主机系统的坚韧强固: ...

  3. 网站服务器日志软件,网站日志分析工具软件-360星图完整单机版

    网站日志分析工具软件-360星图完整单机版 书法字体2018.06.14360星图 360星图是360旗下开发的一款实用的网站日志分析工具软件.利用360星图可以可以快速生成直观的网站日志报告,比起用 ...

  4. 网站技术分析工具:Wappalyzer

    经常有人会问,这个网站使用什么技术搭建的? AngularJS?Django?Jquery?还是什么呢? 如果遇到这样的问题,建议你装一个这样的插件:Wappalyzer https://wappal ...

  5. 在线网站技术分析工具

    Wappalyzer:在线网站技术分析工具 Wappalyzer 网站是一个可以分析不同网站所使用的各种技术的工具,对于有自身经验的网站开发者而言可以通过代码开分析网站的构架和所采用的技术,不过现在你 ...

  6. 「独立站必备工具」25种检测竞争对手网站的分析工具

    常话说:从竞争对手中能学习到更多!竞争对手才是最好的老师! 许多企业对竞争有不健康的看法.他们认为这是对他们长期的威胁.当然,竞争可能会很可怕.在大多数情况下,竞争是一件好事.当您配备了合适的竞争对手 ...

  7. php mysql 网站性能分析工具_如何使用工具进行线上 PHP 性能追踪及分析?

    工作了一两年的 PHPer 大概都多多少少知道一些性能分析的工具,比如 Xdebug.xhprof.New Relic .OneAPM.使用基于 Xdebug 进行 PHP 的性能分析,对于本地开发环 ...

  8. 十种免费网站访问分析工具

    对于免费的网站访问统计分析工具,绝大多数人都会立即想到Google Analytics,而实际上网上有很多选择,这些工具可以提供用户行为度量.搜索引擎访问量.实时访客追踪等服务,以下就是十种有创造力的 ...

  9. 网站日志分析工具汇总

    腾讯hadoop http://www.ha97.com/5665.html nginx upstream源码,姑且看一看吧 http://bollaxu.iteye.com/blog/855497 ...

最新文章

  1. C++核心编程(三)
  2. 学习前端你必须看过这几本书!
  3. Python初探---2x版本与3x版本的区别
  4. PAT 乙级 1041
  5. javaheapspace解决方案_高手总结的9种 OOM 常见原因及解决方案
  6. 使用Keras和TensorFlow构建深度自动编码器
  7. 【华为云技术分享】DAS文件上传组件的进化
  8. 【Elasticsearch】es Elasticsearch 聚合性能优化六大猛招
  9. ASP.Net学习笔记001--ASP.Net简介1
  10. PRML第十章 Approximate Inference(近似推断,变分推断,KL散度,平均场, Mean Field )
  11. Linux怎么删掉ftp服务器,Linux怎么删掉ftp服务器
  12. 极通Aipcconn已停止工作问题处理方法
  13. HP M280 鼠标驱动
  14. 软件测试工程师相关证书
  15. 一分钟学习静态网页制作
  16. 计算机桌面移动如何解决,【电脑小知识】桌面布局被锁定,图标不能随意移动了怎么办?...
  17. 一个WinForm程序的生与死
  18. qq第三方登录所需appid
  19. python创作音乐: 计算机创作,计算音乐
  20. jqueryCutDown.js结合moment.js倒计时整理,直接copy可用,别忘了引入jquery

热门文章

  1. java中thread实例_Java多线程2:Thread中的实例方法
  2. axure文件如何加密_rp文件命名也可能导致文件无法打开
  3. 公需科目必须学吗_化学难吗?
  4. 如何改变本地git的根目录
  5. fasttext的异步随机梯度下降导致结果不一致
  6. qt使用 QMediaPlay 简单播放音乐
  7. CentOS7系统 yum 安装报错
  8. java获取UUID与UUID的校验
  9. 【业务】现金贷获客之道业务流程分析
  10. 【软考】信息系统项目管理师--知识点