海豚の小窝
首页文章杂谈关系友链关于
封面

今天给博客做了一次全身安检

2026-06-28 21:45:00
✨ 心情:成就感满满
# 开发
# 安全
# 博客

让人帮博客做了个安全审计 结果挖出一堆问题 (≖_≖ )

Nginx安全头倒是早就配了 但sitemap.xml居然被自己挡住了 robots.txt也在乱disallow 还有CSP把Google Fonts给ban了导致字体加载有问题

修了一晚上:

  • sitemap.xml 404 → 现在能正常访问了 19个页面全收录
  • robots.txt 乱禁止 → 改成合理的规则 还加了Sitemap指令
  • CSP缺Google Fonts → font-src和connect-src都补上了
  • Nginx备份文件冲突 → 之前备份放在sites-enabled里被重复加载了 移走了
  • sitemap还缺了好几个页面 → 把projects、timeline、photowall、tree、tarot、youlian全加上了

现在再看一眼响应头 整齐多了 ✨

X-Frame-Options ✓ X-Content-Type-Options ✓ Content-Security-Policy ✓ Referrer-Policy ✓ X-XSS-Protection ✓ Server版本隐藏 ✓ .env和.git返回403 ✓

做全栈就是这样 不是在写bug就是在修bug的路上 但是修完之后那种清爽感 爽!

下一步:搞个域名和SSL证书 上HTTPS + HSTS 就齐活了

avatar

海豚

只是一个普通人

2026年6月

一
二
三
四
五
六
日
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

Recent Records

AI 生图功能上线啦!

2026-07-01

塔罗牌组合规则系统上线了

2026-06-28 23:30:00

口袋小精灵从本地拉到云端了

2026-06-27 00:30:00