網頁與帳號防護

強烈建議啟用雙因素驗證(2FA)。詳見 雙因素驗證(2FA)。

最後更新 63 天前

你在找什麼？

除了網路與平台層的保護，Kanorio 在您發布的網站與後台帳號上，額外實作了應用層防護。以下說明這些措施如何保護訪客與您。

防止惡意程式碼注入

當訪客造訪您的網站，瀏覽器會載入 HTML、CSS、JavaScript 等資源。若未加限制，惡意第三方可能嘗試在網頁中植入惡意程式碼 (例如竊取訪客輸入的密碼、Cookie)，或誘導訪客連到釣魚網站。

Kanorio 在您發布的網站回應中套用 **Content-Security-Policy (內容安全政策) **，限制網頁可載入的資源來源。例如：只允許來自信任網域的腳本、不允許執行內聯的未經授權程式碼。這大幅降低被植入惡意程式、竊取訪客資料的風險。

點擊劫持(Clickjacking) 是指攻擊者將您的網站嵌在透明的 iframe 中，疊在詐騙頁面上。訪客以為在點擊您的網站按鈕，實際上可能觸發隱藏的惡意操作 (如授權轉帳、安裝惡體)。

Kanorio 套用 X-Frame-Options，限制您的網站只能被同網域嵌入，或禁止被嵌入。這避免您的網站被嵌到釣魚頁面或詐騙網站中，保護訪客不被誤導。

瀏覽器會根據檔案的 MIME 類型 (如 text/html、application/javascript) 決定如何處理。若攻擊者偽造 MIME 類型，可能誘使瀏覽器將惡意內容當成腳本執行。

Kanorio 套用 X-Content-Type-Options: nosniff，要求瀏覽器嚴格遵守伺服器宣告的類型，不自行「嗅探」猜測。這降低因類型誤判而執行惡意內容的風險。

當訪客從您的網站點擊連結到其他網站時，瀏覽器預設可能傳送 **Referrer (參照網址) **，讓目標網站知道訪客從哪裡來。這可能外洩訪客的瀏覽路徑或敏感參數。

Kanorio 套用 Referrer-Policy，控制參照資訊的外洩程度。例如：同站內導覽可傳送完整路徑，跨站時僅傳送來源網域，或在不安全連線時不傳送。這減少訪客造訪紀錄被第三方追蹤的風險。

現代瀏覽器支援網頁存取定位、麥克風、相機等裝置。若未加限制，惡意網站可能未經明確同意就嘗試存取這些權限。

Kanorio 套用 Permissions-Policy，預設關閉定位、麥克風、相機等敏感權限。若您的網站需要這些功能 (例如線上預約需定位)，您可於模組或設定中主動啟用；未啟用的網站，訪客不會被意外要求授權。

除了網頁防護，帳號安全同樣重要。Kanorio 提供 雙因素驗證(2FA)，您可於「設定 → 安全性」啟用。啟用後，登入時除了密碼或 Email 登入連結，還需輸入驗證器 App (如 Google Authenticator) 顯示的 6 位數驗證碼。

即使密碼外洩或登入連結被截獲，他人仍無法登入您的帳號，因為他們沒有您手機上的驗證碼。這能有效保護您的網站管理權限與品牌資產。詳見雙因素驗證(2FA)。

不需要。您發布的網站會自動套用上述安全標頭，無需任何設定。2FA 則需您主動於「設定 → 安全性」啟用。

多數情況下不會。這些是背景運作的安全措施，訪客只會感受到網站正常運作、載入順暢。若您啟用 2FA，登入時會多一步驗證碼輸入。

強烈建議啟用雙因素驗證(2FA)。詳見雙因素驗證(2FA)。