如何替 Webflow 網站做資安檢測?
您可能會想:「Webflow 不是已經很安全了嗎?」 這是一個很好的問題!沒錯,Webflow 本身提供了世界級的託管環境(基於 AWS),並為我們處理了所有伺服器端的安全問題,像是防禦 DDoS 攻擊、自動安裝 SSL 憑證等等。這就像是他們為我們蓋了一棟有著頂級保全和堅固地基的社區大樓。
然而,這次的資安檢測(弱點掃描、滲透測試)主要針對的是「我們蓋在裡面的房子」——也就是我們為您客製化開發的網站前端程式碼。這包括了 HTML 結構、CSS 樣式以及任何客製化的 JavaScript 互動效果。我們的目標是確保您家裡的門窗(也就是程式碼)都上了鎖,沒有任何潛在的漏洞。
進行 Webflow 原始碼匯出並交由第三方廠商掃描,就是確保我們交付給您的網站,不僅外觀亮麗、功能完善,更是安全無虞。
如何輕鬆完成 Webflow 原始碼匯出?
整個過程非常簡單,只需要幾個步驟就能完成。在開始之前,請確認您的 Webflow 帳號是 Core 或更高等級的付費方案,因為只有這些方案才支援程式碼匯出功能。
準備好了嗎?我們開始吧!
- 進入專案設計後台 (Designer):登入您的 Webflow 帳號,並進入我們為您建立的網站專案的設計後台。
- 找到「Export Code」按鈕:在畫面的右上角工具列,您會看到一個小小的程式碼圖示
</>,這就是「Export Code」按鈕。 - 準備打包程式碼:點擊後會跳出一個視窗,直接按下藍色的「Prepare ZIP」按鈕。這時 Webflow 會開始將您網站所有的程式碼、圖片和相關檔案打包成一個 ZIP 壓縮檔。
- 下載 ZIP 檔案:稍等片刻(網站越大,時間越長),當按鈕變成綠色的「Download ZIP」時,就代表打包完成了!點擊它,就能將完整的網站原始碼下載到您的電腦。
就是這麼簡單!您現在手上拿到的這個 ZIP 檔,就是我們要交給資安團隊進行掃描的「網站藍圖」。
匯出的檔案裡有什麼?
為了讓您更了解交給資安團隊的內容,這裡簡單說明一下 ZIP 檔裡包含的項目。這有助於理解資安檢測的範圍。
| 檔案/資料夾 | 說明 |
|---|---|
index.html (及其他 .html 檔案) |
這些是您網站每個頁面的骨架和內容,也就是 HTML 程式碼。 |
css/ 資料夾 |
包含了所有讓網站看起來漂亮的樣式表(CSS)檔案。 |
js/ 資料夾 |
包含了所有驅動網站互動效果的 JavaScript 檔案,這通常是資安檢測的重點之一。 |
images/ 資料夾 |
網站上使用的所有圖片資源。 |
請注意:這次的 Webflow 原始碼匯出提供的是一個「靜態」的網站版本。它不包含 Webflow 的後台編輯器、CMS 內容資料庫或任何伺服器端邏輯,因為這些都由 Webflow 安全地管理著。
接下來的步驟:提交檢測與修補
拿到 ZIP 檔案後,請將它直接提供給您指定的資安檢測廠商。
- 弱點掃描 (Vulnerability Scan):他們會對這些原始碼進行靜態應用程式安全測試(Static Application Security Testing, SAST),找出潛在的寫法漏洞。
- 滲透測試 (Penetration Test):除了原始碼,他們通常還會需要網站的線上測試網址。他們會模擬駭客,嘗試從外部攻擊網站,而手上的原始碼能幫助他們更有效率地找到切入點。
當您收到資安團隊的檢測報告後,請與我們分享。我們的團隊會:
- 分析報告:仔細研究報告中的每一項發現。
- 修補漏洞:針對前端程式碼相關的漏洞(例如:客製化 JavaScript 中的跨網站指令碼 XSS 風險),我們會在 Webflow 平台內直接修正。
- 說明與溝通:如果有些發現是與 Webflow 平台底層相關,我們無法修改,但也會向您說明清楚,並解釋其風險級別。
- 重新發布與驗證:完成修補後,我們會重新發布網站。若有需要,您可以再次進行 Webflow 原始碼匯出,交給資安團隊進行複檢,確保所有問題都已解決。
希望這份指南能幫助您順利完成資安檢測的第一步。我們致力於交付一個不僅美觀、更兼具安全性的網站。如果您在操作過程中有任何疑問,隨時讓我們知道!