信息來(lái)源：企業(yè)網(wǎng)

Mozilla最近發(fā)布了一款名為Observatory的網(wǎng)站安全分析工具，意在鼓勵(lì)開(kāi)發(fā)者和系統(tǒng)管理員增強(qiáng)自己網(wǎng)站的安全配置。

該工具的用法非常簡(jiǎn)單：輸入網(wǎng)站URL，即可訪(fǎng)問(wèn)并分析網(wǎng)站HTTP標(biāo)頭，隨后可針對(duì)網(wǎng)站安全性提供數(shù)字形式的分?jǐn)?shù)和字母代表的安全級(jí)別。該工具可分析大量安全配置，取決于所發(fā)現(xiàn)問(wèn)題的嚴(yán)重程度，會(huì)通過(guò)扣分的方式對(duì)分?jǐn)?shù)進(jìn)行修正。該工具檢查的主要范圍包括：

根據(jù)Mozilla對(duì)評(píng)分細(xì)節(jié)的介紹，每個(gè)網(wǎng)站默認(rèn)可得到100分，隨后將根據(jù)具體配置扣分或加分：

所有網(wǎng)站的基準(zhǔn)分為100分，以此為基礎(chǔ)進(jìn)行扣分或加分。最低分為0分，但最高分沒(méi)有上限。目前HTTP Observatory可給出的理論最高分為130。但是要注意，盡管用字母代表的安全等級(jí)范圍和修正后的分?jǐn)?shù)在本質(zhì)上是隨機(jī)的，但實(shí)際上這些評(píng)分源自業(yè)界專(zhuān)家的反饋，代表了某一網(wǎng)站通過(guò)測(cè)試或測(cè)試失敗的可能性。

例如在CORS測(cè)試中，包含CORS標(biāo)頭但僅限于特定域名的網(wǎng)站不會(huì)因此被扣分，然而如果同一個(gè)網(wǎng)站在使用CORS XML文件的同時(shí)允許所有域名，將會(huì)扣掉50分，50分是修正分中可以扣除的最大分值。

Observatory由一個(gè)核心庫(kù)，一個(gè)CLI，以及一個(gè)Web界面組成。CLI可供開(kāi)發(fā)者將評(píng)分功能用腳本的方式納入測(cè)試套件或部署邏輯中。對(duì)于只需要偶爾使用的用戶(hù)，可以在Web界面上輸入網(wǎng)站地址并設(shè)置其他選項(xiàng)。該工具還可以調(diào)用其他安全分析工具，例如securityheaders.io和hstspreload.appspot.com，借此提供更深入的檢測(cè)分析。

在該工具的網(wǎng)站上，每個(gè)類(lèi)別都提供了一個(gè)指向Mozilla相關(guān)話(huà)題文檔的鏈接，開(kāi)發(fā)者可以通過(guò)這個(gè)鏈接了解如何以更好的方式實(shí)現(xiàn)安全策略。Mozilla提供的CORS指南中稱(chēng)：

除非明確需要，否則不應(yīng)出現(xiàn)[CORS信息]。此類(lèi)信息的用例包括為JavaScript/CSS庫(kù)和公開(kāi)API端點(diǎn)提供托管的內(nèi)容交付網(wǎng)絡(luò)（CDN）等。如果使用了此類(lèi)信息，必須將其鎖定至盡可能少，正常使用絕對(duì)必要的源（Origin）和資源。

Observatory網(wǎng)站本身在該工具中獲得了A+以及120分的成績(jī)，而mozilla.org獲得了D+以及40分的成績(jī)。該項(xiàng)目已開(kāi)源并已發(fā)布至GitHub。

查看英文原文：Mozilla's Observatory Website Security Analysis Tool Available