檢測網站的安全性與隱私設定

檢測網站的內容安全性政策

Mozilla 從 Firefox 41 開始的開發者工具,就讓使用者能夠檢測網站的安全性設定。GCLI (Graphic Command Line Interface) 可用以檢驗網站的內容安全性政策 (Content Security Policy,CSP)。CSP 安全規範可供網站保護自己免受跨網站指令碼 (Cross-site scripting,XSS) 以及類似的攻擊。CSP 更可讓網站作者列出安全名單,確保能安全載入相關資源。瀏覽器可強制要求 CSP 標頭並讓網站僅載入安全名單之內的資源。只要在 CSP 檢測工具中鍵入「security csp」,即可列出所有的安全名單網站。

CSP 主要是用以保護網站免受 XSS 攻擊,但是防護機制又必須允許支援網站上的舊程式碼。舉例來說,在讓網站轉用 CSP 時,關鍵字「unsafe-inline」本用以支援舊的行內指令碼 (Inline script)。這組關鍵字將允許網站的所有行內指令碼,但同時也可能允許執行惡意指令碼,如此就讓 CSP 無法有效防範大多數的 XSS 攻擊行為。因此 CSP 開發工具不僅會列出所有安全資源,也將評比各組安全資源以明列防護等級。

檢測網站的參照位址政策

另從 Firefox 43 開始揭露了更多網站隱私設定,並讓使用者可檢視「參照位址政策 (Referrer Policy,RP)」中的「Security referrer」。參照位址政策可讓網站進一步控制瀏覽器的參照位址標頭。特別一提,此設定也能讓網站擁有者引導瀏覽器完全隱藏參照位址的資訊,並只有在相同網域上瀏覽時才會將之揭露。參照位址開發工具則提供範例,指出在瀏覽不同網站時所將使用的參照位址,讓使用者與開發者均可檢視在點下超連結之後送出了哪些資訊。

說到為使用者提供某一網頁所使用的隱私設定,檢視 CSP 與 RP 只不過是最基礎的入門。我們希望未來能添增更多工具,讓使用者能進一步掌握網站的安全與隱私性。

 

 

原文連結:Inspecting Security and Privacy Settings of a Website

 

 

您可能也會喜歡

目前找不到相關文章

共 1 則讀者回應

對此文章發表回應

你的電子郵件位址並不會被公開。 必要欄位標記為 *