Web 安全:CSP 与 Trusted Types 实战
通过 CSP 与 Trusted Types 的协同,显著降低 XSS 风险,给出在现代前端中的部署与兼容策略。
web
PWA 渐进式 Web 应用实战(2025)
PWA 渐进式 Web 应用实战(2025)PWA 通过 Service Worker 与 Manifest 让 Web 具备离线与安装能力。本文聚焦缓存策略与更新体验。一、核心组件Service Worker:拦截网络请求、缓存与离线回退;遵循生命周期(install、activate、fetch
"WebCodecs 性能优化:硬件加速编解码与落地注意"
"解释 WebCodecs 在浏览器端的高性能编解码能力与硬件加速优势,说明解码/编码管线、帧队列与回压控制,以及兼容性与安全注意。"
"Web缓存与安全(Cache Poisoning防护与边缘策略)最佳实践"
"通过URL与头部规范化、正确的Cache-Control与Vary配置、边缘分层与键隔离,构建可验证的缓存安全与防中毒策略。"
"WebCrypto 实战:AES-GCM 与 PBKDF2 的安全注意事项"
"总结在浏览器端使用 WebCrypto 进行 AES-GCM 加密与 PBKDF2 密钥派生的要点,强调 GCM 的 nonce/IV 唯一性、认证加密优势与常见踩坑。"
"Web 字体加载优化:font-display、preload 与子集化"
"系统介绍 Web 字体加载的策略与取舍,结合 font-display 与 preload 的协作、子集化与中文场景的分包实践,并给出对 LCP 的影响与验证来源。"
WebCodecs 视频解码/编码管线实践
介绍 WebCodecs 的解码/编码管线与常见模式,结合 Canvas/OffscreenCanvas 实现高效视频处理与实时特效。
Web 安全与 CSP、SameSite、OAuth2 实战(2025)
Web 安全与 CSP、SameSite、OAuth2 实战(2025)Web 安全需要浏览器与服务端协同。本文聚焦 CSP、SameSite 与 OAuth2 的关键配置与实践。一、CSP 与 XSS 防御核心指令:`default-src`、`script-src`、`style-src`、`i
WebCrypto 密钥封装与跨会话保存
使用 `wrapKey/unwrapKey` 对会话密钥进行封装与解封,结合 RSA-OAEP 或 AES-KW,实现跨会话的安全密钥保存与恢复。
Web 动画与 CLS 布局稳定性优化(2025)
Web 动画与 CLS 布局稳定性优化(2025)CLS 衡量页面的布局偏移,动画与资源加载不当会显著影响稳定性。一、动画与合成合成层:使用 `transform`/`opacity` 进行动画,避免布局回流。过渡:控制过渡时机与范围,减少干扰关键内容。二、占位与加载占位:为图片与广告保留尺寸,避免
