TOTP/HOTP二因素与漂移窗口(步长/位数)最佳实践
通过TOTP/HOTP的步长与位数配置、时间漂移窗口与重放阻断,安全落地二因素认证并兼顾可用性。
实践
tRPC 类型安全 API 与端到端类型共享实践(2025)
tRPC 类型安全 API 与端到端类型共享实践(2025)一、路由与输入路由:按模块组织 tRPC 路由;统一命名与版本。输入校验:用 Zod 定义与复用 Schema,防止越权与脏数据。二、类型共享与生成端到端:客户端自动推断返回类型,减少手工维护。生成:在 CI 中校验与生成类型产物,保障一致
"Trusted Types 与 DOMPurify 集成实践:策略与注入点治理"
"展示将 Trusted Types 与 DOMPurify 集成的策略写法与注入点治理流程,说明策略白名单与转换函数设计,并给出工程注意与参考。"
"Trusted Types与前端DOM XSS防护最佳实践"
"在现代前端中通过Trusted Types与严格CSP约束危险DOM操作,配合模板转义与内容净化,构建可验证的XSS防护体系。"
TUF元数据与存储库治理(targets-snapshot-timestamp-阈值)最佳实践
校验TUF元数据的角色完整性、签名阈值与时间窗口,确保制品存储库发布可信与可追溯。
Turbopack 稳定性与生产构建实践
引言Turbopack 在 Next.js 15.5/16 周期实现了显著稳定性提升,并在 16 阶段成为新项目的默认打包器;官方监测显示生产构建规模与请求数优化,指标可优于或持平 Webpack。核心信息(已验证)15.5 表现:官方监测显示 Turbopack 产物规模与请求数优化,FCP/LC
Unicode同形字与包名混淆防护(Confusables-白名单-正规化)最佳实践
检测包名中的 Unicode 同形字与跨脚本混用,配合白名单与正规化策略阻断冒充与混淆风险。
"URLPattern:路由匹配与性能实践"
"介绍 URLPattern 的语法与匹配模型、参数提取与命名组、在路由中的应用与性能注意事项,并提供示例与权威参考。"
URL参数白名单与DOM-Based XSS防护(URLSearchParams/校验)最佳实践
通过URL参数白名单与类型校验、输出转义与受控DOM更新,系统性降低DOM-Based XSS与参数污染风险。
URL片段(hash)治理与DOM更新防护(去污染/转义)最佳实践
通过对白名单的URL片段进行去污染与转义、受控更新DOM,系统性降低由hash引发的DOM-Based XSS与状态污染风险。
