SECURITY

網站安全與事件回報

以瀏覽器安全標頭、最小權限、隱私優先與負責任揭露為基礎,降低網站維運中的可避免風險。

安全原則

公開網站不應要求使用者信任看不見的流程。

本站採用 HTTPS、安全標頭、嚴格的內容來源限制、目錄與敏感檔案防護、版本化靜態資源及自訂錯誤頁面。安全設定會隨主機能力與瀏覽器標準調整,但不以「絕對安全」或「零風險」作為宣稱。

前端不嵌入第三方分析工具、社群像素或行為錄影。主機仍可能基於連線、安全與故障排查留下必要的伺服器紀錄,詳細說明請見隱私權頁面。

防護範圍

從瀏覽器、主機到錯誤處理的完整邊界。

HTTP

傳輸與瀏覽器安全

HSTS、CSP、X-Content-Type-Options、Referrer-Policy、Permissions-Policy、COOP 與 frame 防護。

HOST

主機檔案防護

關閉目錄列出、阻擋備份與設定檔、限制危險方法,並以獨立錯誤頁面回應。

PRIVACY

最小化第三方依賴

不載入外部字型、廣告、分析與使用者行為錄影,減少不必要的跨站請求。

RECOVERY

更新與復原

版本化快取、更新紀錄、部署前備份與可回復的靜態網站結構。

負責任揭露

發現弱點時,請先私下回報。

請提供受影響網址、發現時間、重現步驟、預期與實際結果,以及必要畫面。不要附上真實密碼、驗證碼或其他人的個人資料。

寄送安全回報 檢視 security.txt 閱讀事件回報流程
常見問題

安全設定與隱私處理說明。

本站是否使用第三方分析工具?

不使用。本站不載入 Google Analytics、Meta Pixel、Hotjar 或其他第三方行為追蹤工具;基本流量與安全紀錄由主機服務商後台提供。

發現安全問題應如何回報?

請寄信至 service@kaelith.tw,提供問題描述、受影響網址、重現步驟、發現時間與必要畫面。請勿公開披露尚未修正的弱點。

錯誤頁面為什麼會顯示 IP 與瀏覽器資訊?

技術資訊由伺服器在當次錯誤頁面中回傳,目的是協助使用者回報問題;頁面本身不會額外把這些資訊傳送到第三方。