Web 安全与 CSP、SameSite、OAuth2 实战（2025）

Web 安全与 CSP、SameSite、OAuth2 实战（2025）Web 安全需要浏览器与服务端协同。本文聚焦 CSP、SameSite 与 OAuth2 的关键配置与实践。一、CSP 与 XSS 防御核心指令：`default-src`、`script-src`、`style-src`、`img-src` 等限制外部资源。禁止内联脚本：避免 `unsafe-inline`，改用 nonce 或 hash。输入校验与输出编码：对用户输入做严格校验并进行上下文敏感编码，降低 XSS 风险。二、CSRF 防御与 SameSiteCSRF Token：对状态变更请求要求令牌并进行双重校验。SameSite Cookie：`Lax`/`Strict`/`None`；当为 `None` 时必须 `Secure`。只读 Cookie：敏感标识设为 `HttpOnly`，避免脚本访问。三、OAuth2 授权流程授权码流程（含 PKCE）：适用于浏览器与移动端，提高安全性。客户端凭证：适用于后端到后端的服务访问。范围（scope）与最小授权：仅授予必要权限，定期审计。注意事项关键词、分类与描述与正文一致；配置遵循标准与通用实践。全链路日志与告警，及时发现异常与滥用。