Mozilla 又给我们带来一个网站安全性跑分！ 一大波 A+ 教程即将来袭了吧

居然 D

测试好几个国内大型网站都是 F

@Aspx
@int64ago

这货的标准很严格的。如果 http 和 https 共存的话，没有强制 HSTS 做好的话，妥妥的 F

我的才 D+

0 分

居然是 A ，死在 CSP 上面……

不错， b

不敢上 HSTS ， F 就 F 吧

扫描了下 https://mozilla.github.io
是 F ，寄人篱下啊

C+什么鬼。。。

F

小破站 B+

F 。。。

并不会 a+， unsafe-inline 很少人能开吧

在 ssllabs 测试是 A+ ，反而在这里只得了个 C-，看来又要加强安全了。

无脑追求 A+其实已经偏离本质了...除非是个人小博客不然很多设定是不可能的.

https://imququ.com 仅仅是 A ， unsafe-inline 目前确实没办法去掉。

F

v2ex.com:F

@zander 和大 v 站一个等级～

一个静态 blog ， B …

0 分

果然，学校的网站 score:0

测了好几个 SSL Labs 得分 A 的网站，结果全军覆没，都是 F …

不过评分能怎样呢？真的安全才重要吧！

得了个 D ＋..


Google 主站是 D ， Baidu 主站是 F

unsafe inline 去不掉

优化了一下，到 A+了！！！！

Mark.

F Github 的锅

丢图跑

Etula.me HTTP 头得了 A TLS 部分得了 m

HSTS preloading 居然被放到这么高的位置。问题是这种 [解决方案] 算什么啊，搞了那么久的 PKI 体系最后却指望浏览器里硬编码一个列表，总有种缝缝补补又三年的破烂感。

临时工是最强的， A+也能全灭

moodyz.com 都有 C 评级

居然得了 B ，还不错啊！

@qgy18 Mozilla 窝记得最推崇 in line 了 现在 hhhhh

加载好慢， qq.com F

google 主站是 C-， mozilla 自家的主页也是 C-

似乎 github.io 下的站点全部是 F

http://bubuyu.u.qiniudn.com/屏幕快照%202016-08-28%20 下午 5.16.37.png
Mozilla 自己都是 D+

github.com A+

@palxex
HSTS preloading 算是不得已的过渡方案吧。
也许某天浏览器默认加载 https ，非 https 必须手动加上 http://

@Quaintjade 善。其实 mozilla 对 letsencrypt 的支持和对 h2c 的抗拒应该说明他们的愿景就是如此。但如果是那样， HSTS 、 CSP 乃至 XFO XXP 什么的 header 就都只是过渡用的，只对 http 站点有意义。对 google/github 这些纯 https 站点进行安全评估时完全没必要评价这几点，遑论减分。感觉他们现在有点逻辑混乱。

c+

@Quaintjade 善哉。多希望 HSTS 之类的只是过渡方案。

F ， 15 分

终于 A+ 了，把所有 inline script/style 都改为 CSP2 的 Hashes 了：

content-security-policy:default-src 'none'; script-src https: blob: 'sha256-EXpjqnq6bBRKNU86n1jt5PUYCgxDgsOYN9mgQ7FKEqA=' 'sha256-tuN/taV0PwCmTK7/KXJPHfAlzRCRyQEh+ySIHGS/bdQ=' 'sha256-LmqWYXdCMPeaYES0GLxTcg4GG9lRP4ROcbzNCRG7k+0=' 'sha256-8sQo5qZ4ZgO0VeeYu0GN05LDWyCB/4n11qozSbNrUw4='; style-src https: 'sha256-FHhdZjNbbxK6uspgpn8A4MRnv/bTyi96J5BoOP74SVo=' 'sha256-vJR8aVOblGM4d6XxhWU0fCzVI+mvFKpLBHppx/4p3hc='; img-src https: data:; child-src https:; connect-src 'self'; frame-src https://disqus.com;

头部这么多看着真是蛋疼，虽然说有 HTTP/2 的 HPack 。

更为蛋疼的是 safari 仍不支持 CSP2 ，只能 UA 判断下。

放上地址：
https://mozilla.github.io/http-observatory-website/analyze.html?host=imququ.com

F 跪... 不想改了，将就

0 分。。。 cloudfront 的锅。。。真没办法， s3 不支持添加 HSTS header

F+1

@qgy18 大神就是大神

@qgy18 这是有一点求本逐末的意思了吧……

google 竟然是 D ，不会吧

CloudFlare 官网是 D ……
VeriSign 官网是 F ……

B+ www 不～

@wql 嗯，如果为了追求得分而损失功能或体验，确实得不偿失。

所以我严格安装了 CSP2 的 Hashes 规范处理了内联 style 和 script ，也算是更遵守规范了吧。

@qgy18 那 CSP2 的 Hashes 又是什么鬼呢？

是时候来一发广告了， https://imququ.com/post/content-security-policy-level-2.html#toc-1-0

@qgy18 你这强迫症啊。。

@qgy18
看了下 console 似乎还是有资源被 block 住了。
话说 WP 插件多了之后一堆 inline ，手动改好像不太现实。

@Quaintjade 应该是注入的 css 。

@Quaintjade 例如 firefox 的 uBlock 就会往页面注入 css ，被 block 了也挺好。

又有一波 A+教程了 不过这个真的好严格
@Zohar 你的是 C 几天前就玩过了 2333

非常严格

好歹我也是拿过 100 分的男人(*)

@wql 你哪个项目扣分了

@4679kun iFrame Sandbox 和 CSP (后面一项没法改，处于兼容还要保留 unsafe-inline )

不支持 HTTPS ，妥妥的 F 呀

@wql iframe sandbox 我是这样解决的 https://pastebin.mozilla.org/8905707
CSP 我从别人那里抄的 就一句 frame-ancestors 'self'

developer.mozilla.com 是 D 。