核心价值HSTS 强制全站 HTTPS,降低降级与中间人风险。Permissions-Policy 限制摄像头、地理位置等能力的默认使用范围。Middleware 注入import { NextResponse } from 'next/server' export function middleware() { const res = NextResponse.next() res.headers.set('strict-transport-security', 'max-age=31536000; includeSubDomains; preload') res.headers.set('permissions-policy', 'camera=(), microphone=(), geolocation=(self)') return res } export const config = { matcher: ['/((?!_next/static|_next/image).*)'] } 治理建议启用 HSTS preload 需在浏览器列表提交域;确保子域均支持 HTTPS。对敏感能力默认禁用或仅允许同源;针对特定页面可使用更细粒度策略。结论通过在入口注入 HSTS 与 Permissions-Policy,可显著提升传输安全与能力约束的确定性,适合现代前端的基础安全治理。
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复