Clickjacking防护:CSP frame-ancestors与X-Frame-Options
通过 CSP 的 `frame-ancestors` 与 `X-Frame-Options` 头限制页面被不可信站点嵌入,降低点击劫持风险。
CSP
Content-Security-Policy报告与strict-dynamic治理
通过 nonce+strict-dynamic 的脚本治理与报告管道(Report-To/Report-Only),降低 XSS 风险并建立可观测的策略演进。
CSP与Subresource Integrity:前端资源加载安全治理
通过内容安全策略与子资源完整性保护前端资源加载,阻断脚本注入与篡改,建立可审计的安全基线。
Subresource Integrity 静态资源签名校验:SRI、CSP 与供应链风险治理
使用 Subresource Integrity 为外部与本域静态资源提供完整性校验,结合 CSP 与版本治理降低供应链风险,并给出经验证的拦截率与失败占比指标。
Trusted Types 与 DOM XSS 防护:策略启用、迁移与验证指标
通过启用 Trusted Types 与安全策略限制危险 DOM 接口的字符串注入,提供增量迁移与白名单治理,并给出经验证的拦截与误报指标。
Trusted Types与DOM XSS防护实践
借助 Trusted Types 与策略化的 DOM API 使用,降低基于字符串的 XSS 注入风险。
Trusted Types前端防DOM XSS治理
使用 Trusted Types 与 CSP 强制类型化的 DOM 注入,阻断不安全字符串写入,系统化降低 DOM XSS 风险。
"Content Security Policy (CSP) 2025 配置与前端防护实践"
"以 CSP 为核心的前端防护实践,覆盖策略配置、Nonce/Hash 管理与上报机制,并以真实站点验证对 XSS 与资源加载风险的治理效果。"
"Subresource Integrity(SRI)与第三方资源治理"
"以 SRI 为核心治理第三方资源风险,结合 CSP 与版本管理,验证在生产站点的安全与稳定收益,并提供灰度与回退策略。"
