隱私安全 | 赫赫文王

隱私

以下服務會爲高敏感：

聚合圖牀（國內網站，我無法直接管理）

以下服務會記錄您的 IP 地址（中敏感）：

Google Analytics 流量分析
Hyvor Talk 評論（斯里蘭卡的公司）
托管於 Netlify

還使用了如下腳本（低敏感）：

Algolia 搜索（我無法管理）
InstantPage 快速加載（我無法管理）

安全

只要用 Netlify 託管，一般的 SSL 測試很容易得到 A+：

Qualys：A+
國內的 MySSL：A+

2022-01-05 測試，只有 A，不知道爲什麼，也沒具體得分。

webbkoll 測試有很多問題，便按照指引補了一下安全漏洞。

我託管於 Netlify，在根目錄下新建響應頭純文本文件，名爲 _headers ：

/*
Referrer-Policy:no-referrer
Strict-Transport-Security:max-age=31536000;includeSubDomains;preload
X-Frame-Options:DENY
X-Content-Type-Options:nosniff
X-XSS-Protection:1;mode=block
Content-Security-Policy: block-all-mixed-content

本來還加了 CSP，這樣就顯示通過測試：

Content-Security-Policy:default-src https:;base-uri 'none';object-src 'none';form-action cdn.jsdelivr.net open.saintic.com/isso/f8fn21/js/embed.min.js;img-src *;script-src 'unsafe-inline' cdn.jsdelivr.net googletagmanager.com google-analytics.com open.saintic.com/isso/f8fn21/js/embed.min.js;style-src cdn.jsdelivr.net 'self';frame-ancestors 'none'

但搜索功能沒法工作，不想去硏究了，索性去掉。

合格的有：

不合格的：

CSP 和 SRI

CSP (Content Security Policy) 是一個白名單，告訴瀏覽器能加載哪些資源。

SRI (Subresource Integrity) 是一個核對清單，將遠程加載資源的 sha 値與你設置的進行對比，相同的就可以加載。

2022-01-05 向 Google 提交了 HSTS。

把 _header 改成：

/*
Referrer-Policy: no-referrer
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
X-Content-Type-Options: nosniff
X-XSS-Protection: 0
Expect-CT: max-age=86400; enforce; report-uri '<url>'
Content-Security-Policy: frame-ancestors; block-all-mixed-content; base-uri 'self'; form-action 'self'; object-src 'none'
Feature-Policy: accelerometer 'none'; ambient-light-sensor 'none'; camera 'none'; gyroscope 'none'; magnetometer 'none'; microphone 'none'; payment 'none'; usb 'none'
Permissions-Policy: accelerometer=(); ambient-light-sensor=(); camera=(); gyroscope=(); magnetometer=(); microphone=(); payment=(); usb=()

用 SecurityHeaders 測試，得分 A+