工程实践
ReadableStream 分块 SHA-256 校验与续写 OPFS 实践
使用 ReadableStream 分块计算摘要并续写到 OPFS,保障中断恢复与数据完整性。
Resource Hints(preconnect、dns-prefetch)与数据加载优化实践
使用 Resource Hints 改善网络握手与域名解析时延,配合预加载策略优化数据与资源到达时间。
Service Worker skipWaiting 与 clients.claim 更新协作实践
在资源更新时使用 skipWaiting 与 clients.claim 提升更新可感知性与即时生效,并通过消息广播提示刷新。
WebCrypto 实战:AES-GCM 与 PBKDF2 的安全注意事项
"总结在浏览器端使用 WebCrypto 进行 AES-GCM 加密与 PBKDF2 密钥派生的要点,强调 GCM 的 nonce/IV 唯一性、认证加密优势与常见踩坑。"
Web会话与Cookie安全配置指南与最佳实践
"系统化梳理Web会话与Cookie安全配置的关键参数与实施要点,涵盖HttpOnly、Secure、SameSite、会话滚动与固定攻击防护,提供可落地的最佳实践。"
前端性能监测与 Long Tasks(PerformanceObserver、TBT/INP 关联)
使用 PerformanceObserver 捕获 Long Tasks,关联 TBT/INP 指标进行上报与治理,并提供可验证的实现方法。
前端表单安全与数据校验:输入净化、XSS/CSRF 防护与合规验证
构建生产级前端表单安全策略,覆盖输入净化与校验、XSS/CSRF 防护与令牌机制、可用性与误报控制,提供可验证的安全指标
无密码登录:WebAuthn/Passkeys 的原理与落地
"阐述 WebAuthn/Passkeys 的非对称密钥认证原理、浏览器与平台支持与安全优势,给出注册/登录流程与工程注意事项。"
秘密扫描与CI安全(Pre-commit/CI Hooks)落地指南
"结合本地pre-commit与CI流水线的秘密扫描与阻断、审计与凭证治理,构建端到端的泄露防护与合规闭环。"
