凭证管理:Credential Management API 的登录体验与安全
"总结 Credential Management API 的能力与接口(Password/Federated),说明自动登录与填充的用户体验、兼容与安全注意,并给出回退策略与参考。"
安全
前后端BFF网关安全模式(会话代理/令牌封装)最佳实践
通过BFF网关将浏览器会话代理到后端令牌封装,避免在前端暴露访问令牌,提升安全与可控性。
前端依赖版本策略与安全升级流程
"以SemVer与锁定文件为基础,结合安全公告监控、自动化升级PR与许可证审计,构建可控与可追溯的前端依赖安全升级流程。"
前端内容安全事件采集与自动防护(CSP报告联动)最佳实践
"将CSP报告与聚合联动到动态策略与自动阻断,构建前端内容安全的闭环防护体系。"
前端安全基线与自动化扫描:SAST/DAST、依赖审计与CSP校验
建立前端安全基线与自动化扫描体系,覆盖静态/动态安全测试、依赖与许可证审计、CSP/TT 校验与门禁,提供可验证的风险降低指标
前端本地存储安全与 Token 管理(Cookie/LocalStorage/SessionStorage)
比较 Cookie/LocalStorage/SessionStorage 的安全与适用性,设计 Token 管理策略与验证方法,避免泄露与越权。
前端第三方库安全沙箱与隔离执行策略(WebWorker/iframe)最佳实践
"通过WebWorker与iframe sandbox的隔离执行、消息通道与CSP/SRI约束,构建第三方库的安全集成与最小信任运行环境。"
前端表单安全与输入净化(XSS/模板注入防线)最佳实践
"通过前端输入验证与转义、内容净化与统一封装,构建针对XSS与模板注入的稳健防线,提升表单与渲染安全。"
安全认证与授权:OAuth2/OIDC与JWT最佳实践
面向现代 Web 与移动应用的认证与授权实践,覆盖令牌生命周期、声明校验与最小权限原则。
