淺談 Content Security Policy (CSP)

Content Security Policy 是一個讓網站更安全的機制,透過設定 CSP HTTP Response Header,可以告知瀏覽器哪些資源(JavaScript、CSS 等等)可以使用,哪先不行,如果你的網站還沒有使用 CSP,會讓使用者暴露在高危險中,趕緊為你的網站加上 CSP 吧

CSP 主要可以分成 directivepolicydirective 代表資源,如 script-src 代表 JavaScript,img-src 代表圖片;而 policy 代表規則,如 'self' 代表可以從相同來源載入,'none' 代表禁止載入此資源

因此,透過正確設定 CSP,可以確保網頁只使用我們所允許的資源,任何不在規則中的都會直接禁止,藉此來提供網頁的安全性

淺談 HTTP Strict Transport Security (HSTS)

在資安越來越重要的現在,如何提升網站安全性是很重要的議題,今天將簡單介紹 HTTP Strict Transport Security(簡稱 HSTS),讓你有個初步的了解並知道如何使用它

HSTS 是一個透過在 HTTP Response Header 中設定的安全機制,它可以強制使用者在未來訪問網站時一定要使用 HTTPS 協定,並且當網站憑證出問題時,使用者不可以忽略警告而繼續訪問網站

淺談 DNS Certification Authority Authorization (CAA)

最近在將 VPS 從 DigitalOcean 轉移到 Linode 時,發現了 DNS CAA 這個規範,研究了以後,覺得應該是未來改善 https 安全性很有用的一個規範,因此想簡單的介紹一下。

在安全是一個越來越重要的議題下,大部分的網站都會使用 https 來確保使用者與網站之間資料的隱私與完整性,那麼,選擇了一個可靠的憑證機構是否就代表沒問題了?不盡然,Symantec 誤發 google.com 延伸認證 就是一個例子,除了請該憑證機構撤銷外,我們還可以採取什麼措施來保護自己的網站呢?DNS CAA 就是其中一個方法。

初探 Let’s Encrypt

第一次知道 Let’s Encrypt 是在今年九月初左右,當時看到這計畫覺得非常開心,心想,未來網站連線將會更加安全(終於不用花錢買憑證了),再加上自動化的安裝,可以讓一般使用者也無痛使用,因此,從那時起,就期待著正式上線。

時間來到了十二月初,Let’s Encrypt 終於進入 Public Beta 了,儘管有著自動化的安裝,但身為資工的學生,當然要自己摸索過一次囉,因此,本文章就順勢誕生啦(不過好像已經十二月底了)。


教學將分為以下幾點