CSS Highlight API:自定义高亮与选择协作
介绍 Highlight API 的 `CSS.highlights` 与自定义命名高亮,统一多个 Range 的样式显示,适用于搜索匹配与批量标注,提供示例与兼容建议。
工程实践
Core Web Vitals 进化:INP 优化、输入延迟与交互稳定性实践
聚焦 Core Web Vitals 新指标 INP,从采集与分析到优化策略,系统化降低输入延迟并提升交互稳定性,提供可验证的用户体验指标
Core Web Vitals 2024:INP 取代 FID 的优化清单
说明 2024 年起 INP(交互到下一绘制)取代 FID 成为核心指标,并给出面向真实用户性能的系统化优化路径。
"COOP 深入:same-origin 隔离与 window.opener 安全"
"解释 COOP 的作用与 same-origin 模式下的窗口隔离,说明避免 opener 污染与跨源窗口共享的安全意义,并与 COEP/隔离能力协作。"
Cookie安全前缀治理(__Host/__Secure)最佳实践
通过统一使用__Host与__Secure安全前缀Cookie并校验属性,提升会话与敏感标识的安全基线,防止路径与子域滥用。
Cookie分区(CHIPS)与跨站存储治理最佳实践
通过CHIPS分区Cookie与跨站存储治理,在嵌入场景下安全地使用跨站Cookie,同时保持最小暴露与严格属性。
Cookie与会话安全策略统一落地(属性收敛与滚动)最佳实践
统一会话安全基线与可验证的落地方案,包含Cookie属性收敛(Secure/HttpOnly/SameSite、精确Path/Domain)、登录后会话ID滚动与TTL策略、CSRF令牌、设备指纹绑定与注销回收,附服务端设置与校验示例。
Client Hints治理与隐私收敛(Accept-CH/高熵禁用)最佳实践
通过Accept-CH白名单与限制高熵UA-CH请求、最小化收集范围与缓存一致性治理,降低指纹与隐私泄露风险。
Client Hints 设备特征与资源协商:带宽节省与自适应实践
利用 Client Hints(UA-CH、DPR、Width、Save-Data)实现图片与资源的按特征协商,降低带宽与加速加载,并提供服务端配置、隐私治理与经过验证的指标。
Clickjacking防护:CSP frame-ancestors与X-Frame-Options
通过 CSP 的 `frame-ancestors` 与 `X-Frame-Options` 头限制页面被不可信站点嵌入,降低点击劫持风险。
