Mozilla一年前發(fā)布的Mozilla Observatory掃描了Alexa排名前100萬的網站，結果令人沮喪，大多數網站的文檔和安全措施都非常糟糕，站點運營者們對內容安全（CSP）、HTTP嚴格傳輸安全（HSTS）和子資源完整性（SRI）的重要性缺乏認知。

全球web站點安全性快速大幅提升

數月后，Mozilla對Alexa前100萬家網站進行了重新掃描，發(fā)現全球web網站的安全性有了大幅改善。HSTS和CSP的部署都超過了50%，其他方面的web安全性也都得到不同程度的改進，統(tǒng)計如下：

從上表可以看出，全球web站點的安全性正在以出人意料的高速度提升，雖然部署HTTPS的站點數量只增長了36%，但是絕對數量已經非�？捎^，Alexa前100萬網站中已經有11.9萬家網站部署了HTTPS（編者按：前天Let’s Encrypt剛剛慶祝HTTPS免費證書發(fā)放數突破一億大關）。

不僅如此，已經部署HTTPS的網站中，多達9.3萬家網站將HTTPS設置為默認訪問選項，其中1.8萬家網站甚至禁止未加密的HTTP訪問。

內容安全策略（CSP）的普及速度也非常驚人，因為對于一個新的站點來說，部署CSP其實還是有些難度的，需要對CSP進行重構和改造來適應站點。

Obervatory安全評級：有喜有憂

雖然全球web站點的安全性過去幾個月取得來飛速的進展，但是多數大網站依然沒有部署CSP和SRI，要知道這些技術如果部署得當，能夠消除絕大多數的站點攻擊，為用戶提供更好的安全防護。以下為Mozilla給出的全球站點安全評級數據對照表：

其中不及格（F級）的網站數下降來2.8%，這意味著過去八個月中2.7萬家安全性不達標的網站進行來有效的改進。

成功掃描的969924家網站中，有超過5萬家網站使用Mozilla Observatory來掃描網站改進安全評級，其中2500家網站的安全評分直接從F跳升到A或A+。