Mozilla 又给我们带来一个网站安全性跑分！ 一大波 A+ 教程即将来袭了吧

http://bubuyu.u.qiniudn.com/屏幕快照%202016-08-28%20 下午 5.16.37.png
Mozilla 自己都是 D+

github.com A+

@palxex
HSTS preloading 算是不得已的过渡方案吧。
也许某天浏览器默认加载 https ，非 https 必须手动加上 http://

@Quaintjade 善。其实 mozilla 对 letsencrypt 的支持和对 h2c 的抗拒应该说明他们的愿景就是如此。但如果是那样， HSTS 、 CSP 乃至 XFO XXP 什么的 header 就都只是过渡用的，只对 http 站点有意义。对 google/github 这些纯 https 站点进行安全评估时完全没必要评价这几点，遑论减分。感觉他们现在有点逻辑混乱。

c+

@Quaintjade 善哉。多希望 HSTS 之类的只是过渡方案。

F ， 15 分

终于 A+ 了，把所有 inline script/style 都改为 CSP2 的 Hashes 了：

content-security-policy:default-src 'none'; script-src https: blob: 'sha256-EXpjqnq6bBRKNU86n1jt5PUYCgxDgsOYN9mgQ7FKEqA=' 'sha256-tuN/taV0PwCmTK7/KXJPHfAlzRCRyQEh+ySIHGS/bdQ=' 'sha256-LmqWYXdCMPeaYES0GLxTcg4GG9lRP4ROcbzNCRG7k+0=' 'sha256-8sQo5qZ4ZgO0VeeYu0GN05LDWyCB/4n11qozSbNrUw4='; style-src https: 'sha256-FHhdZjNbbxK6uspgpn8A4MRnv/bTyi96J5BoOP74SVo=' 'sha256-vJR8aVOblGM4d6XxhWU0fCzVI+mvFKpLBHppx/4p3hc='; img-src https: data:; child-src https:; connect-src 'self'; frame-src https://disqus.com;

头部这么多看着真是蛋疼，虽然说有 HTTP/2 的 HPack 。

更为蛋疼的是 safari 仍不支持 CSP2 ，只能 UA 判断下。

放上地址：
https://mozilla.github.io/http-observatory-website/analyze.html?host=imququ.com

F 跪... 不想改了，将就

0 分。。。 cloudfront 的锅。。。真没办法， s3 不支持添加 HSTS header

F+1

@qgy18 大神就是大神

@qgy18 这是有一点求本逐末的意思了吧……

google 竟然是 D ，不会吧

CloudFlare 官网是 D ……
VeriSign 官网是 F ……

B+ www 還不錯～

@wql 嗯，如果为了追求得分而损失功能或体验，确实得不偿失。

所以我严格安装了 CSP2 的 Hashes 规范处理了内联 style 和 script ，也算是更遵守规范了吧。

@qgy18 那 CSP2 的 Hashes 又是什么鬼呢？

是时候来一发广告了， https://imququ.com/post/content-security-policy-level-2.html#toc-1-0

@qgy18 你这强迫症啊。。