启用 Brotli 压缩算法,减少流量

关于 Brotli 与常见的通用压缩算法不同,Brotli使用一个预定义的字典。该字典包含超过13000个常用字符串,这些来自一个文本和HTML文档的大型语料库。预定义的算法可以提升较小文件的压缩密度。 使用Brotli替换Deflate来对文本文件压缩通常可以增加20%的压缩密度,而压缩与解压缩速度则大致不变。 支持度 Mozilla Firefox在Firefox 44中开始支持Brotli。 Google Chrome从Chrome 49开始支持Brotli。 Opera从Opera 36开始支持Brotli。 以上正式支持该压缩编码的浏览器,约占全球浏览器的一半。 备注: 以上两个栏目内容,参阅了: Brotli - »

本站实验:Content Security Policy 2 (内容安全策略版本2)

为了减少很大一部分潜在的跨站脚本问题,浏览器的扩展程序系统引入了内容安全策略(CSP),并且已经有了 W3C 的标准化。 这将引入一些极严格的策略,会使引入的网站内容在默认情况下更安全,站长可以创建并强制应用一些规则,管理网站允许加载的内容。 在6月18日以前,本站使用的是第一版 CSP ,而且只使用了 upgrade-insecure-requests 一个值,用于解决一个历史遗留问题——本站迁移到 Ghost 时曾经使用了 Cloudinary 的图像存储和处理服务,但是默认转换为 HTTP URL ,我只能用这个 »

本站实验:SRI Hash

本站正式启用 SRI 策略,该策略有助于来减少由“托管在 CDN 的资源被篡改”而引入的 XSS 等风险。 具体操作为:在标签中添加sha256-,sha384-或者sha512-开头的SHA-2缩略信息,浏览器进行验证。 SRI 是 Subresource Integrity 的缩写,一般按照字面意义翻译为:子资源完整性,它也是由 Web 应用安全工作组(Web Application »

本站启用HPKP

这算是我第一次个人明确指定我的证书商了吧。虽然 Comodo, StartSSL, Wosign 甚至 AlphaSSL 我都用过。 但是,个人在CNNIC签发的中级根被MCS滥用后,也觉得有必要注意证书避免被滥发的问题。 通过Jerry Qu 这篇文章,我认识了HPKP。 HTTP Public Key Pinning(HPKP),也是用来防范由「伪造或不正当手段获得网站证书」造成的中间人攻击,但有着与 CT 不同的思路。 »