Referrer-Policy治理与信息泄露防护(no-referrer/strict-origin-when-cross-origin)最佳实践
通过统一的Referrer-Policy策略与路径差异化治理,降低跨站跳转中的敏感信息泄露风险并保持必要可用性。
origin
Cross-Origin-Resource-Policy(CORP)治理与媒体保护最佳实践
通过CORP响应头在资源层限制跨站获取,结合站点级策略保护敏感媒体与数据资源。
CSRF防护与双重提交Cookie-Origin-Token协同最佳实践
通过SameSite属性、Origin/Referer校验与双重提交Cookie+令牌组合,构建可验证的CSRF防护方案,附令牌签发与校验中间件及验收清单。
"内存隔离策略:Origin-Agent-Cluster 的作用与部署"
"介绍 Origin-Agent-Cluster 响应头的语义与浏览器内存/进程隔离作用,解释与站点/跨源隔离的协作关系,并给出部署与兼容性注意。"
Origin-Agent-Cluster隔离治理最佳实践
通过启用Origin-Agent-Cluster以隔离站点上下文,减少跨文档共享导致的侧信道与内存攻击面,并与COOP/COEP协同治理。
"COOP 深入:same-origin 隔离与 window.opener 安全"
"解释 COOP 的作用与 same-origin 模式下的窗口隔离,说明避免 opener 污染与跨源窗口共享的安全意义,并与 COEP/隔离能力协作。"
"CORP 资源策略:Cross-Origin-Resource-Policy 的防护与取舍"
"介绍 CORP 响应头的工作原理与适用场景,说明其对跨源资源加载与 XSSI/推测侧信道的防护作用,并给出配置建议与注意事项。"
"Origin-Agent-Cluster:同源对象隔离与内存管理"
"说明 `Origin-Agent-Cluster` 响应头的作用,将同源上下文隔离到独立的Agent Cluster,改善内存与崩溃隔离,与跨源隔离策略协作,提供部署与验证建议。"
Origin-Agent-Cluster:站点隔离与进程安全
使用 `Origin-Agent-Cluster: ?1` 将页面置于独立的 agent cluster,增强隔离与安全,减少跨文档共享造成的风险,并说明兼容与影响。
WebSocket 认证与安全(JWT、Origin 校验、子协议与权限)
设计 WebSocket 的认证授权与安全策略,使用 JWT、Origin 校验与子协议控制权限,并提供验证方法。
