数据脱敏与日志治理(字段级红线/结构化)最佳实践
以字段级红线与结构化日志治理为核心,统一脱敏与白名单策略,保障隐私不外泄并提升可观测与审计能力。
实践
构建代理隔离与短期沙箱治理(网络出口-文件系统-生命周期)最佳实践
通过网络出口与文件系统能力的最小化、短期生命周期与审计,隔离构建代理并降低供应链风险。
模板注入防护与服务端渲染治理(沙箱/输出转义)最佳实践
通过模板沙箱与输出转义、变量白名单与长度限制,系统性防止模板注入与跨站脚本风险。
浏览器安全响应头统一基线与灰度发布最佳实践
统一浏览器安全响应头的基线与灰度发布策略,包含HSTS、CSP、Referrer-Policy、X-Content-Type-Options、Permissions-Policy、COOP/COEP的可验证中间件与切换示例。
浏览器端存储安全(LocalStorage/IndexedDB/Service Worker)最佳实践
"通过加密存储、TTL与作用域最小化、Service Worker缓存治理,构建浏览器端数据安全与可控持久化的最佳实践。"
混合内容治理与自动升级(upgrade-insecure-requests/block-all-mixed-content)最佳实践
通过CSP启用资源自动升级与阻断混合内容,在全站HTTPS场景下保障资源一致性与防止降级攻击。
第三方脚本治理与引入策略(SRI/Trusted Types/异步沙箱)最佳实践
统一第三方脚本治理策略,使用SRI与CSP/Trusted Types保障完整性与赋能,配合异步沙箱(iframe)与白名单通信,实现最小权限安全引入,附示例与验收清单。
WebRTC DataChannel 文件分块传输与断线恢复实践
使用 WebRTC DataChannel 进行文件分块传输与确认机制,保存进度以支持断线重连与恢复。
WebAuthn 与 FIDO2 无密码认证实践:注册、登录与兼容性验证
以生产可用的方式实现 WebAuthn/FIDO2 无密码认证,覆盖注册、登录、挑战校验与兼容性策略,提供安全配置与指标验证方案
WebAuthn无密码登录与挑战响应(FIDO2/可信来源)最佳实践
通过WebAuthn挑战响应与可信来源校验、rpId与credential绑定,落地安全的无密码登录流程并防止重放与来源伪造。
