网络安全
OAuth2授权范围与同意管理:Scopes与Consent治理
以细粒度授权范围与同意管理控制权限边界,规范展示与撤销与审计,提升安全与合规与用户体验。
OIDC ID Token验证与时钟偏移(aud/iss/nonce/exp)最佳实践
通过JWS验签与`iss/aud/nonce/exp`校验并引入时钟偏移容忍窗口,保障OIDC ID Token在不同环境下的稳健可信。
Permissions-Policy 特性控制(策略、来源与验证)
使用Permissions-Policy(原Feature Policy)限制浏览器特性在页面与嵌入内容中的可用性,防止滥用与提升安全,提供策略声明与验证方法。
Permissions-Policy(浏览器特性权限)安全管控最佳实践
以Permissions-Policy为核心,通过特性权限白名单与iframe沙箱约束,构建可验证的浏览器特性安全管控与最小授权策略。
12-Factor配置与密钥管理:环境变量、Vault与KMS
以 12-Factor 为基础,结合 Vault/KMS 管理密钥与配置,保障安全与可审计。
COOP 深入:same-origin 隔离与 window.opener 安全
解释 COOP 的作用与 same-origin 模式下的窗口隔离,说明避免 opener 污染与跨源窗口共享的安全意义,并与 COEP/隔离能力协作。
CORP 资源策略:Cross-Origin-Resource-Policy 的防护与取舍
介绍 CORP 响应头的工作原理与适用场景,说明其对跨源资源加载与 XSSI/推测侧信道的防护作用,并给出配置建议与注意事项。
CORS 与 Cookie 策略(SameSite、Secure、HttpOnly、跨域预检)
系统梳理 CORS 响应头与 Cookie 策略,明确 SameSite/Secure/HttpOnly 的要求与跨域预检流程,并提供验证方法与注意事项。
CORS与SameSite Cookie策略:跨域与CSRF防护
以精确的 CORS 响应与 SameSite Cookie 配置防止跨站请求伪造,结合 Origin/Referer 校验与令牌策略强化安全边界。
CORS跨域策略与预检优化实践
设计安全且高效的 CORS 策略,配置允许来源与凭证、优化预检缓存与响应头,并提供验证与监控方法,降低延迟并避免安全风险。
CSP Nonce 与 Strict-Dynamic 实战(脚本信任链与验证)
使用CSP的nonce与strict-dynamic构建脚本信任链,避免内联与不可信脚本执行,提供服务端生成与浏览器验证的可落地方案。
CSP 报告端点与违规检测平台(2025)
# CSP 报告端点与违规检测平台(2025)
CSP 报告提供前端安全违规的可观测性,便于治理与优化策略。
## 一、报告与采集
- 报告端点:接收浏览器上报的 CSP 违规事件。
- 采样与脱敏:控制体量并保护敏感信息。
## 二、检测与白名单
- 规则:匹配违规类型与来源,识别误报与高风险。
- 白名单:集中管理与变更审计,防止滥用。
## 三、告警与联动
- 告警:阈值与趋势触发告
CSP基础URL治理(base-uri)最佳实践
通过CSP的base-uri限制文档基础URL来源,防止不受控base标签导致的资源解析与外跳篡改,提升页面安全与一致性。
CSP样式策略治理(style-src nonce/hash)最佳实践
通过CSP的style-src使用nonce或哈希治理内联样式,移除unsafe-inline并封装受控样式插入,降低XSS与样式注入风险。
