Kafka 事务与端到端一致性(2025)
结合幂等生产与事务与 Outbox,构建 Kafka 的端到端一致性链路,实现 Exactly-once 语义与可回溯处理。
编程技术
Istio External Auth 与全局鉴权(Envoy ext_authz、OPA 与验证)
在Istio中通过Envoy ext_authz对接外部鉴权服务或OPA,实现入口与服务间统一鉴权,并提供策略与端到端验证方法。
Badging API:PWA 应用角标与状态提示
介绍 Badging API 的应用角标设置与清理、与通知/后台任务协作、兼容与平台差异,并给出示例与参考。
Clear-Site-Data清理与风险处置(cookies/storage/cache)最佳实践
通过在风险处置或登出流程下发Clear-Site-Data头,统一清理cookies/storage/cache,降低残留数据导致的越权与隐私风险。
CSP nonce/hash 管理与构建集成最佳实践
通过构建阶段生成nonce与hash并在服务端注入,结合脚本白名单与内联治理,实现可验证的CSP策略管理与落地。
Cross-Origin Opener Policy(COOP):窗口隔离与安全边界
通过 COOP 限制窗口关系以实现跨源隔离,提升安全与稳定性,并为 SharedArrayBuffer 等能力提供前置条件。
Cookie 前缀实践:__Host- 与 __Secure- 的使用与约束
解释 Cookie 前缀的安全约束与用途,给出在会话标识与跨子域隔离中的实践建议,并说明与 Secure/SameSite 的协作。
CSS Grid 自动放置与 dense 模式:布局策略与性能
'介绍 Grid 的自动放置规则与 `grid-auto-flow: row|column|dense`,在不完整网格中进行回填与布局优化,说明适用场景与性能注意事项,并提供示例与兼容建议。'
Fetch Metadata 请求头实践:防跨站请求伪造与滥用
说明 Fetch Metadata 的请求头含义与服务器端防护策略,用最小代价识别跨站与非同源请求,降低 CSRF 与投毒风险。
HTTP3与QUIC Datagram:实时传输与拥塞控制选择
理解 QUIC 的可靠流与不可靠 Datagram 语义,结合拥塞控制与 0-RTT 限制进行实时传输选型。
Artifact Registry跨云来源治理(GCR-ECR-ACR-白名单)最佳实践
对跨云镜像与制品仓库进行来源白名单治理,校验域与命名空间,阻断不受控来源的拉取与部署。
HashiCorp Vault 动态数据库凭证与密钥轮换实践
使用 Vault 数据库引擎签发短周期动态凭证与密钥轮换,提供配置与验证示例,降低泄露风险。
Cookie 分区化(CHIPS):第三方 Cookie 的安全替代
解释 Cookie 分区化(CHIPS)的原理与 `Partitioned` 属性的使用,帮助在第三方 Cookie 受限的环境下维持必要的嵌入场景能力并降低跨站跟踪。
CSP 防点击劫持:frame-ancestors 与嵌入治理
阐述使用 CSP 的 frame-ancestors 控制页面被谁嵌入,以防点击劫持;对比 X-Frame-Options 的差异与迁移,提供配置示例与验证方法。
