Hormuz Monitor
安全/隱私檢查清單
最後更新:2026-03-17(Asia/Taipei)
基礎安全
- [x] 全站 HTTPS(含 HSTS)
- [x] CSP 啟用且禁止 `eval`
- [x] `X-Frame-Options: DENY`(防點擊劫持)
- [x] `X-Content-Type-Options: nosniff`
- [x] `Cross-Origin-Opener-Policy: same-origin`
- [x] `Cross-Origin-Resource-Policy: same-origin`
- [x] `Referrer-Policy: strict-origin-when-cross-origin`
隱私控制
- [x] 流量追蹤需使用者同意後才啟用
- [x] 支援拒絕追蹤與再次設定
- [x] 支援瀏覽器 Do Not Track 預設拒絕
- [x] 公開隱私政策頁
資料最小化
- [x] 公開頁面未包含姓名、電話、Email 等直接個資
- [x] 僅部署 `public/` 目錄,不公開本機其他資料夾
- [x] 油輪資料為船舶與市場資料,不是個人資料
維運建議(每月)
- [ ] 檢查 Firebase/GA 權限與帳號最小權限
- [ ] 檢查 API Key 使用限制與可疑來源
- [ ] 檢查 OpenStreetMap 圖磚與 jsDelivr 可用性/來源安全
- [ ] 檢查第三方 CDN 套件版本更新(Chart.js、Hammer.js)
- [ ] 檢查 GA 事件命名與資料保留週期設定