赫赫文王»网誌»站務»

本站的隱私、安全、速度 privacy policy

我有必要將本站所有涉及隱私的情況完全透明展示給您。
  502 字
 作者@柯棋瀚 標籤#coding
版權 CC BY-NC-SA 4.0,非商業用途可隨意使用

隱私

以下服務會直接記錄您的信息(高敏感):

  • 诏预 Isso 評論服务(國內網站,我無法直接管理)
  • Google Analytics 流量分析(由我直接管理)

以下服務可能會記錄您的 IP 地址(中敏感):

  • 托管於 Netlify(我無法直接管理)
  • 聚合圖牀(國內網站,我無法直接管理)

還使用了如下腳本(低敏感):

  • Algolia 搜索(我無法管理)
  • InstantPage(我無法管理)

安全

只要用 Netlify 託管,一般的 SSL 測試很容易得到 A+:

無意間發現 webbkoll,測試有很多問題,便按照指引補了一下安全漏洞。

我託管於 Netlify,在根目錄下新建響應頭純文本文件,名爲 _headers

/*
Referrer-Policy:no-referrer
Strict-Transport-Security:max-age=31536000;includeSubDomains;preload
X-Frame-Options:DENY
X-Content-Type-Options:nosniff
X-XSS-Protection:1;mode=block
Content-Security-Policy: block-all-mixed-content

本來還加了 CSP,這樣就顯示通過測試:

Content-Security-Policy:default-src https:;base-uri 'none';object-src 'none';form-action cdn.jsdelivr.net open.saintic.com/isso/f8fn21/js/embed.min.js;img-src *;script-src 'unsafe-inline' cdn.jsdelivr.net googletagmanager.com google-analytics.com open.saintic.com/isso/f8fn21/js/embed.min.js;style-src cdn.jsdelivr.net 'self';frame-ancestors 'none' 

但搜索功能沒法工作,不想去硏究了,索性去掉。

合格的有:

不合格的:

CSP 和 SRI

CSP, Content Security Policy 是一個白名單,告訴瀏覽器能加載哪些資源。

SRI, Subresource Integrity 是一個核對清單,將遠程加載資源的 sha 値與你設置的進行對比,相同的就可以加載。

速度

  • 使用 InstantPage 腳本,實現站內預加載
  • 生成時使用 hugo --minify,把 css、js 壓縮到最小
  • js 放在最後,竝使用延遲加載、異步加載
  • 無框架;無多餘 js

PageSpeed Insights:電腦上全站各頁面平均 98。非常好。

評論系統:诏预Isso开放服务。本站對您在使用該系統時產生的隱私問題不負責任