COEP 模式对比:require-corp 与 credentialless 的选择
比较 COEP 的两种模式在跨源子资源嵌入上的行为差异,解释 credentialless 的匿名请求与部署便捷性,并给出与 COOP/CORP 的协作与灰度策略。
网络安全
Cilium eBPF 网络策略与 Hubble 可视化实践(2025)
# Cilium eBPF 网络策略与 Hubble 可视化实践(2025)
## 一、网络策略与模型
- L3/L4/L7:多层策略控制;精细化白名单。
- 策略灰度:在小范围试运行策略,避免误杀。
## 二、Hubble 与观测
- 流量图谱:端到端可视化调用路径与拒绝事件。
- 指标与告警:延迟/错误分布与异常模式告警。
## 三、性能与治理
- eBPF 优势:内核态处理降低开销与延
API 签名与请求重放防护(2025)
# API 签名与请求重放防护(2025)
请求重放与篡改是常见攻击面。本文从签名机制与网关治理给出工程实践。
## 一、签名与参数
- HMAC 签名:以密钥对规范化请求串进行 HMAC 计算。
- 时间戳与 nonce:限定有效期并保证唯一性,防止重放。
## 二、校验与容错
- 网关校验:统一签名、时间窗口与 nonce 去重校验。
- 容错:对时钟偏差设置容忍度与重试策略。
##
Clipboard 读取:navigator.clipboard.read 与类型过滤
介绍剪贴板读取的权限与类型过滤,使用 `navigator.clipboard.read()` 读取图片与富文本,限制来源与数据处理,提供示例与回退。
OAuth刷新令牌旋转与撤销检测最佳实践
构建刷新令牌旋转与撤销检测方案,支持令牌家族(family)管理、重用检测与全家族吊销、短期访问令牌与精确scope传播,附签发与刷新示例。
CSP 报告端点与自动化治理(report-to、violation reports 与验证)
配置CSP报告端点收集违规事件并自动化治理混合内容与不可信资源,提供服务端与客户端实现及验证方法,提升安全与可观测性。
CSP报告上报与自动处置(Report-To/采样/屏蔽)最佳实践
通过CSP报告通道的采样与聚合、自动屏蔽与处置策略,提升脚本注入与资源违规的检测与响应效率。
Content Security Policy 报告与子资源完整性(SRI)实践
通过 CSP 报告与子资源完整性强化前端资源加载安全,限制来源并收集违规上报,保障混合内容与脚本风险可控。
OAuth2 DPoP与Token绑定:防重放与转发攻击
利用 DPoP 证明将访问令牌与客户端密钥绑定,降低令牌被窃取后的转发与重放风险。
OAuth2 MTLS客户端认证:双向TLS与证书绑定
在 OAuth2 中使用 mTLS 客户端证书绑定令牌与连接,提升高敏接口的身份可信与防转发能力。
OAuth2的PKCE与设备码授权:安全与适配场景
解析 PKCE 与设备码授权在不同客户端下的安全增强与适配场景,降低授权码拦截与弱终端风险。
OpenID Connect 设备码流(Device Flow)安全实战(轮询、速率与绑定)
在无键盘设备场景下实施 OIDC 设备码流,配置轮询速率与绑定策略,保障安全与用户体验,并提供验证方法。
PWA Manifest安全与权限治理(scope/start_url/显示模式)最佳实践
通过PWA Manifest的scope/start_url/display等字段治理,限制应用活动范围与入口URL,提升安装体验与安全性。
AI 安全与评估体系(2025)
# AI 安全与评估体系(2025)
AI 系统的安全与质量需要制度化治理。本文从指标、攻防与审计三个方面展开。
## 一、评估指标
- 准确性与一致性:针对任务定义标注集与评分标准。
- 幻觉控制:回答需可追溯来源;无法回答时明确退路。
- 鲁棒性:对对抗样本与异常输入进行压力评估。
## 二、数据泄露与防护
- 最小权限:隔离敏感数据,严格访问控制与审计。
- 输出检测:对潜在泄露与敏感
API网关认证模式:JWT、mTLS与API Key对比
对比三类常见认证模式的适配场景与治理策略,在网关层统一校验与授权,兼顾安全与易用性。
