跨源隔离(COOP/COEP)与 SharedArrayBuffer 启用与安全治理实践
"系统化落实跨源隔离(COOP/COEP)以启用 SharedArrayBuffer 与高性能并发能力,结合 CSP/Trusted Types 与服务器配置,提供可验证的启用/降级与安全治理方案。"
工程实践
浏览器 SRI 与 CSP nonce-hash 协同治理实践
使用 Subresource Integrity 与 CSP nonce/hash 协同治理资源可信性与内联安全,在 Next.js 15 App Router 中实现 nonce 传递与头注入示例。
前端安全:常见漏洞与防御策略
本文深入探讨前端开发中常见的安全漏洞,包括跨站脚本 (XSS)、跨站请求伪造 (CSRF)、点击劫持等,并详细介绍相应的防御策略和最佳实践。旨在帮助前端开发者构建更安全、更健壮的 Web 应用程序,有效防范各类安全威胁。
前端安全:常见威胁与防御策略
探讨前端开发中常见的安全威胁,如 XSS、CSRF、点击劫持等,并详细介绍相应的防御策略和最佳实践,帮助开发者构建更安全的 Web 应用。
前端安全:XSS、CSRF 与常见攻击防护
本文全面解析前端常见的安全漏洞,包括跨站脚本攻击 (XSS)、跨站请求伪造 (CSRF)、点击劫持、内容安全策略 (CSP) 等。深入探讨这些攻击的原理、危害以及详细的防护策略和最佳实践,旨在帮助前端开发者构建更安全、更健壮的 Web 应用,有效抵御各类安全威胁。
WebAuthn Passkeys 无密码认证前端集成实践
"基于 WebAuthn/Passkeys 构建无密码认证流程,覆盖前端集成、跨设备同步与回退策略,并以真实环境验证安全性与用户体验的提升。"
WebAuthn Passkeys 无密码登录与跨设备同步实践
"以 WebAuthn Passkeys 实现无密码登录与跨设备同步,覆盖注册与认证流程、风险控制与兼容策略,并提供延迟与成功率的对比数据与工程落地。"
Sigstore Cosign 与 SLSA 供应链证明发布治理实践
使用 Sigstore Cosign 在无密钥模式为前端构建产物进行签名与证明,并生成 SLSA 断言,借助公共透明日志实现可追溯与可验证的资产发布治理。
SBOM(CycloneDX 与 SPDX)生成与依赖风险治理实践
在前端项目中生成并验证 CycloneDX 与 SPDX SBOM,集成到 CI 以评估依赖风险、记录发布资产的组成与来源,实现可追溯的供应链治理。
Referrer-Policy 与 rel=noopener noreferrer 安全治理实践
在响应头与链接层面治理来源信息泄露与 opener 攻击风险,给出 Referrer-Policy 与 rel=noopener noreferrer 的组合实践与在 Next.js 的注入示例。
