信息來源：企業(yè)網(wǎng)

Mozilla最近發(fā)布了一款名為Observatory的網(wǎng)站安全分析工具，意在鼓勵開發(fā)者和系統(tǒng)管理員增強自己網(wǎng)站的安全配置。

該工具的用法非常簡單：輸入網(wǎng)站URL，即可訪問并分析網(wǎng)站HTTP標(biāo)頭，隨后可針對網(wǎng)站安全性提供數(shù)字形式的分?jǐn)?shù)和字母代表的安全級別。該工具可分析大量安全配置，取決于所發(fā)現(xiàn)問題的嚴(yán)重程度，會通過扣分的方式對分?jǐn)?shù)進行修正。該工具檢查的主要范圍包括：

根據(jù)Mozilla對評分細(xì)節(jié)的介紹，每個網(wǎng)站默認(rèn)可得到100分，隨后將根據(jù)具體配置扣分或加分：

所有網(wǎng)站的基準(zhǔn)分為100分，以此為基礎(chǔ)進行扣分或加分。最低分為0分，但最高分沒有上限。目前HTTP Observatory可給出的理論最高分為130。但是要注意，盡管用字母代表的安全等級范圍和修正后的分?jǐn)?shù)在本質(zhì)上是隨機的，但實際上這些評分源自業(yè)界專家的反饋，代表了某一網(wǎng)站通過測試或測試失敗的可能性。

例如在CORS測試中，包含CORS標(biāo)頭但僅限于特定域名的網(wǎng)站不會因此被扣分，然而如果同一個網(wǎng)站在使用CORS XML文件的同時允許所有域名，將會扣掉50分，50分是修正分中可以扣除的最大分值。

Observatory由一個核心庫，一個CLI，以及一個Web界面組成。CLI可供開發(fā)者將評分功能用腳本的方式納入測試套件或部署邏輯中。對于只需要偶爾使用的用戶，可以在Web界面上輸入網(wǎng)站地址并設(shè)置其他選項。該工具還可以調(diào)用其他安全分析工具，例如securityheaders.io和hstspreload.appspot.com，借此提供更深入的檢測分析。

在該工具的網(wǎng)站上，每個類別都提供了一個指向Mozilla相關(guān)話題文檔的鏈接，開發(fā)者可以通過這個鏈接了解如何以更好的方式實現(xiàn)安全策略。Mozilla提供的CORS指南中稱：

除非明確需要，否則不應(yīng)出現(xiàn)[CORS信息]。此類信息的用例包括為JavaScript/CSS庫和公開API端點提供托管的內(nèi)容交付網(wǎng)絡(luò)（CDN）等。如果使用了此類信息，必須將其鎖定至盡可能少，正常使用絕對必要的源（Origin）和資源。

Observatory網(wǎng)站本身在該工具中獲得了A+以及120分的成績，而mozilla.org獲得了D+以及40分的成績。該項目已開源并已發(fā)布至GitHub。

查看英文原文：Mozilla's Observatory Website Security Analysis Tool Available