DNS over HTTPS(DoH)与DNS安全策略最佳实践
通过DoH与DNS安全策略实现加密解析与隐私保护,结合解析器白名单与缓存治理,构建可验证的DNS安全基线。
网络安全
Envoy CORS 跨域与预检缓存配置实践
在 Envoy 配置 CORS 过滤器与路由级策略,允许指定来源/方法/头并设置预检缓存,保证前端跨域请求安全可控。
File System Access:showDirectoryPicker 目录选择与递归遍历
介绍目录选择与遍历读取文件的流程,权限与用户交互、递归遍历与过滤实现,并与持久化策略协同,提供示例与安全建议。
JWT客户端断言与授权服务器认证(client_assertion)最佳实践
通过JWT客户端断言在令牌与授权端点认证客户端身份,校验`iss/sub/aud/exp/iat/jti`并验证签名,提升安全可信度。
OAuth 2.1 与 OIDC 实战(授权码流、PKCE、刷新令牌安全)
以授权码流为核心,结合 OIDC 与 PKCE 强化安全性,并给出刷新令牌的生产实践与验证方法。
API 日志结构与违规检测策略(2025)
# API 日志结构与违规检测策略(2025)
规范化日志是检测与审计的基础。
## 一、日志结构与字段
- 必填字段:时间、主体、动作、目标、结果与 TraceID。
- 扩展字段:UA、IP、租户、错误码与耗时。
## 二、违规检测
- 正则检测:识别 SQL/XSS 等可疑模式。
- 异常模式:基于频率/阈值检测异常调用与暴力尝试。
- 风险评分:按规则与历史构建评分并分级响应。
#
CSP connect-src 与 default-src:前端请求治理与安全边界
说明 CSP 的 `connect-src` 与 `default-src` 对前端请求(fetch/XHR/WebSocket/EventSource
CSP sandbox指令与页面隔离最佳实践
通过CSP的sandbox指令对页面进行权限收敛与隔离,限制脚本、表单与插件等能力,降低风险页面的攻击面。
CSP报告上报与自动处置(Report-To/采样/屏蔽)最佳实践
通过CSP报告通道的采样与聚合、自动屏蔽与处置策略,提升脚本注入与资源违规的检测与响应效率。
Clickjacking防护:CSP frame-ancestors与X-Frame-Options
通过 CSP 的 `frame-ancestors` 与 `X-Frame-Options` 头限制页面被不可信站点嵌入,降低点击劫持风险。
HTTP范围请求与大文件分片下载治理(Range/校验/速率)最佳实践
通过解析与校验Range头、限制分片大小与速率,并统一返回206响应与Accept-Ranges,保障大文件下载的安全与可控。
Magic Link无密码登录治理(签名/一次性/过期窗口)最佳实践
通过HMAC签名的一次性Magic Link与过期窗口、origin白名单校验,安全落地无密码登录并阻断链接滥用与重放。
