📄 security.txt生成
生成符合RFC 9116标准的security.txt安全政策文件
📖 什么是security.txt
security.txt是一种标准化的安全政策文件(RFC 9116),用于定义组织的安全漏洞披露政策。
作用:帮助安全研究人员找到正确的漏洞报告渠道,明确披露政策和响应时间。
位置:应放置在
格式:纯文本,键值对格式,类似robots.txt。
作用:帮助安全研究人员找到正确的漏洞报告渠道,明确披露政策和响应时间。
位置:应放置在
https://example.com/.well-known/security.txt,也可放在网站根目录。格式:纯文本,键值对格式,类似robots.txt。
⚙️ 快速预设
📝 必填字段
Contact *必填
安全团队的联系方式,可以是mailto:、tel:或https:链接。可添加多个,每行一个。
Expires *必填
文件过期时间,ISO 8601格式。建议设置为1年以内。
📋 可选字段
Preferred-Languages 可选
优先接受的安全报告语言,逗号分隔
Canonical 可选
security.txt的规范URI,防止伪造
Acknowledgments 可选
致谢页面链接,感谢安全研究人员的贡献
Policy 可选
安全政策页面链接,说明可接受的安全测试范围
Hiring 可选
安全相关职位招聘链接
CSAF 可选
CSAF(通用安全咨询框架)提供商元数据链接
📄 生成的security.txt
/* 请填写必填字段 */
📂 部署位置
将security.txt文件部署到以下位置(推荐两个位置都放置):
https://example.com/.well-known/security.txt ← 推荐(RFC 9116标准位置)
https://example.com/security.txt (备用位置)
Nginx配置:将文件放在网站根目录的
Apache配置:确保
Content-Type:应为
注意事项:文件必须通过HTTPS访问,且不能有重定向。
.well-known/ 子目录下。Apache配置:确保
.well-known 目录可访问(默认可能被隐藏文件规则阻止)。Content-Type:应为
text/plain。注意事项:文件必须通过HTTPS访问,且不能有重定向。
✅ 部署检查清单
📖 RFC 9116 字段说明
| 字段 | 必填 | 说明 |
|---|---|---|
Contact | 是 | 安全团队联系方式(mailto/tel/https) |
Expires | 是 | 文件过期时间,ISO 8601格式 |
Preferred-Languages | 否 | 优先语言,逗号分隔 |
Canonical | 否 | 文件的规范URI,防伪造 |
Acknowledgments | 否 | 致谢页面链接 |
Policy | 否 | 安全政策页面链接 |
Hiring | 否 | 安全岗位招聘链接 |
CSAF | 否 | CSAF提供商元数据链接 |