UAIX 把启动阶段部分原本只存在于路线图文案里的信任姿态,转成了可观察的运行时行为:公开的 WordPress 渲染响应现在附带安全响应头,而且站点也把这件事直接写进了公开说明中。
发生了什么变化
- 政策与安全 现在公开当前的响应头姿态,明确哪些是在 WordPress 层执行、哪些仍属于部署基础设施的责任。
- API 参考 现在把同一套加固说明放在实时 REST 手册旁边,避免机器接口评审还要依赖零散说明。
- 公开的 WordPress HTML 页面与 REST 响应现在会发送
X-Content-Type-Options、Referrer-Policy、Permissions-Policy、X-Frame-Options与Content-Security-Policy: frame-ancestors 'self';而宿主环境额外添加的版本头,仍然是部署侧需要继续清理的问题。
如何使用这次更新
- 当启动评审需要在一处看到当前信任姿态时,请使用 政策与安全。
- 当下一步要核对机器接口表面与书面姿态是否仍然一致时,请结合 API 参考、验证器 与 一致性包 一起阅读。
- 当后续上线 HTTPS 或边缘层变更时,请继续附上 治理、变更日志 与 新闻,因为这些部署侧步骤仍然独立于 WordPress 响应层。
边界说明
这次加固让公开的 WordPress 表面更诚实、更可审查,但它并不替代边缘层责任。HTTPS 重定向、HSTS、直接提供的静态根文件的响应头一致性,以及宿主级版本暴露抑制,仍然需要在真正的启动宿主上单独验证。
为什么这很重要
当政策页上写出的安全姿态可以在真实响应里直接看到,而不只是路线图文字时,UAIX 会更容易被信任。这次更新缩小了那道差距,同时也刻意把启动声明控制在比完整生产安全计划更窄的边界内。