Mozilla：全球TOP 100万网站Web安全性大幅提升

Mozilla 一年前发布的 Mozilla Observatory 扫描了 Alexa 排名前 100 万的网站，结果令人沮丧，大多数网站的文档和安全措施都非常糟糕，站点运营者们对内容安全（CSP）、HTTP 严格传输安全（HSTS）和子资源完整性（SRI）的重要性缺乏认知。

全球 web 站点安全性快速大幅提升

数月后，Mozilla 对 Alexa 前 100 万家网站进行了重新扫描，发现全球 web 网站的安全性有了大幅改善。HSTS 和 CSP 的部署都超过了 50%，其他方面的 web 安全性也都得到不同程度的改进，统计如下：

从上表可以看出，全球 web 站点的安全性正在以出人意料的高速度提升，虽然部署 HTTPS 的站点数量只增长了 36%，但是绝对数量已经非常可观，Alexa 前 100 万网站中已经有 11.9 万家网站部署了 HTTPS（编者按：前天 Let’s Encrypt 刚刚庆祝 HTTPS 免费证书发放数突破一亿大关）。

不仅如此，已经部署 HTTPS 的网站中，多达 9.3 万家网站将 HTTPS 设置为默认访问选项，其中 1.8 万家网站甚至禁止未加密的 HTTP 访问。

内容安全策略（CSP）的普及速度也非常惊人，因为对于一个新的站点来说，部署 CSP 其实还是有些难度的，需要对 CSP 进行重构和改造来适应站点。

Obervatory 安全评级：有喜有忧

虽然全球 web 站点的安全性过去几个月取得来飞速的进展，但是多数大网站依然没有部署 CSP 和 SRI，要知道这些技术如果部署得当，能够消除绝大多数的站点攻击，为用户提供更好的安全防护。以下为 Mozilla 给出的全球站点安全评级数据对照表：

其中不及格（F级）的网站数下降来 2.8%，这意味着过去八个月中 2.7 万家安全性不达标的网站进行来有效的改进。

成功扫描的 969924 家网站中，有超过 5 万家网站使用 Mozilla Observatory 来扫描网站改进安全评级，其中 2500 家网站的安全评分直接从F跳升到A或A+。

来自：IT 经理网-宋妍

本文链接