
今天给博客做了一次全身安检
2026-06-28 21:45:00
✨ 心情:成就感满满
# 开发
# 安全
# 博客
让人帮博客做了个安全审计 结果挖出一堆问题 (≖_≖ )
Nginx安全头倒是早就配了 但sitemap.xml居然被自己挡住了 robots.txt也在乱disallow 还有CSP把Google Fonts给ban了导致字体加载有问题
修了一晚上:
sitemap.xml 404→ 现在能正常访问了 19个页面全收录robots.txt 乱禁止→ 改成合理的规则 还加了Sitemap指令CSP缺Google Fonts→ font-src和connect-src都补上了Nginx备份文件冲突→ 之前备份放在sites-enabled里被重复加载了 移走了- sitemap还缺了好几个页面 → 把projects、timeline、photowall、tree、tarot、youlian全加上了
现在再看一眼响应头 整齐多了 ✨
X-Frame-Options ✓ X-Content-Type-Options ✓ Content-Security-Policy ✓ Referrer-Policy ✓ X-XSS-Protection ✓ Server版本隐藏 ✓ .env和.git返回403 ✓
做全栈就是这样 不是在写bug就是在修bug的路上 但是修完之后那种清爽感 爽!
下一步:搞个域名和SSL证书 上HTTPS + HSTS 就齐活了