BroadcastChannel:跨标签通信与状态同步
介绍 BroadcastChannel 的跨标签通信模型与事件,如何进行会话状态同步、冲突处理与安全治理,并提供示例与参考。
网络安全
CORP:Cross-Origin Resource Policy 的嵌入控制与隔离
说明 CORP 响应头的三种策略(same-origin/same-site/cross-origin),如何控制跨源资源嵌入与协作 COEP,实现更强的隔离与安全治理,并提供示例与验证。
Cookie安全前缀治理(__Host/__Secure)最佳实践
通过统一使用__Host与__Secure安全前缀Cookie并校验属性,提升会话与敏感标识的安全基线,防止路径与子域滥用。
DNS CAA记录治理(issue/issuewild/iodef)最佳实践
通过治理DNS CAA记录的issue/issuewild与iodef,限制证书颁发者范围并配置违规报告通道,提升域证书安全与可审计性。
DNS over HTTPS(DoH)与DNS安全策略最佳实践
通过DoH与DNS安全策略实现加密解析与隐私保护,结合解析器白名单与缓存治理,构建可验证的DNS安全基线。
Document Policy:禁用不推荐特性与兼容治理
说明 Document Policy 响应头的配置,用于禁用或限制不推荐特性(如 `document.write`),在站点层面推动兼容与性能治理,提供示例与参考。
Fetch Metadata 请求头实践:防跨站请求伪造与滥用
说明 Fetch Metadata 的请求头含义与服务器端防护策略,用最小代价识别跨站与非同源请求,降低 CSRF 与投毒风险。
Fetch Metadata 防护:Sec-Fetch 系列头的资源隔离策略
总结 Fetch Metadata(Sec-Fetch-*)请求头的意义与用法,给出在服务端实施资源隔离策略的工程建议,作为 CSRF/XSSI 的防御补强。
OAuth 2.1 与 OIDC 实战(授权码流、PKCE、刷新令牌安全)
以授权码流为核心,结合 OIDC 与 PKCE 强化安全性,并给出刷新令牌的生产实践与验证方法。
OAuth 2.1 授权码 + PKCE 与刷新令牌轮换(安全实践与实现)
采用授权码+PKCE并启用刷新令牌轮换的安全实践,涵盖客户端与服务端实现、参数选择与验证方法,降低令牌泄露与重放风险。
OAuth PAR与JAR请求对象签名(请求URI/签名验证)最佳实践
通过Pushed Authorization Requests与JWT-secured Authorization Request将授权参数推送并签名,保障授权请求的完整性与可信性。
JWT 与 JWK 密钥轮换与 RS256 验证实践
---
title: JWT 与 JWK 密钥轮换与 RS256 验证实践
keywords:
- JWT
- JWK
- RS256
- kid
- 密钥轮换
description: 采用 JWK 进行密钥轮换与 RS256 验证,覆盖 JWK 拉取、kid 选择、签名验证与安全注意事项。
categories:
- 文章资讯
- 技术教程
---
# JWT 与 JWK 密钥轮换与 ...
JWT 安全实践(HS256 与 RS256、过期与刷新、无状态会话)
---
title: JWT 安全实践(HS256 与 RS256、过期与刷新、无状态会话)
keywords:
- JWT
- HS256
- RS256
- 令牌刷新
- 无状态会话
description: 总结 JWT 在生产中的安全实践与配置建议,覆盖签名算法、过期与刷新策略、黑名单与无状态会话实现。
date: 2025-11-25
categories:
- ...
Apache APISIX 入口网关插件与路由治理(2025)
# Apache APISIX 入口网关插件与路由治理(2025)
## 一、路由与策略
- 路由:路径/方法/头部匹配与权重分流。
- 插件:认证/限流/重试/监控插件化治理。
## 二、安全与观测
- mTLS 与鉴权:双向加密与统一鉴权策略。
- 指标与日志:入口延迟/错误率与命中率观测。
## 三、发布与灰度
- 灰度策略:按比例/租户分流验证新版本。
- 回滚:异常时快速回退与关闭
DNSSEC记录验证与链路信任(DS/DNSKEY/RRSIG)最佳实践
通过对DNSSEC关键记录的结构与算法校验、链路信任验证与失败阻断,提升域名解析的完整性与可信度。
