Content-Security-Policy报告与strict-dynamic治理
通过 nonce+strict-dynamic 的脚本治理与报告管道(Report-To/Report-Only),降低 XSS 风险并建立可观测的策略演进。
网络安全
Cookie安全属性设计:HttpOnly、Secure与SameSite
从 Cookie 的属性与作用域设计入手,降低 XSS/CSRF 风险并明确域与路径边界。
HSTS 与预加载:全站 HTTPS 的防护与部署
介绍 HSTS 的工作原理与弱点,解释预加载列表的意义与提交要求,并给出部署与回滚注意事项及权威参考。
DNSSEC与TLSA(DANE)域安全治理
通过 DNSSEC 验证域记录并用 DANE/TLSA 绑定证书,降低劫持与中间人风险,构建域级安全基线。
JWT 安全实践(HS256 与 RS256、过期与刷新、无状态会话)
---
title: JWT 安全实践(HS256 与 RS256、过期与刷新、无状态会话)
keywords:
- JWT
- HS256
- RS256
- 令牌刷新
- 无状态会话
description: 总结 JWT 在生产中的安全实践与配置建议,覆盖签名算法、过期与刷新策略、黑名单与无状态会话实现。
date: 2025-11-25
categories:
- ...
API网关安全与多租户隔离最佳实践
结合策略引擎、租户级速率治理与路由白名单,构建可验证的API网关安全与多租户隔离方案,提升稳定性与公平性。
JWT令牌安全实践(短期有效、旋转与撤销)最佳实践
统一令牌安全基线与可验证方案,包含短期有效策略、jti撤销与黑名单、密钥轮换与kid管理、aud/iss强校验与算法固定,附签发与验证示例。
CORS细粒度策略与预检缓存最佳实践
构建精确白名单与路由维度的CORS策略,正确处理预检与缓存(Vary与Max-Age),避免凭证与通配冲突,附服务端中间件与验收清单。
Cross-Origin Resource Policy(CORP):资源隔离与嵌入策略
使用 CORP 通过响应头限制资源可被哪些站点嵌入或获取,配合 COEP/COOP 构建跨源隔离与安全边界。
DNSSEC记录验证与链路信任(DS/DNSKEY/RRSIG)最佳实践
通过对DNSSEC关键记录的结构与算法校验、链路信任验证与失败阻断,提升域名解析的完整性与可信度。
OAuth2/OIDC PKCE安全实践
使用PKCE(S256)强化OAuth2/OIDC授权码流程,通过可验证的请求与令牌校验方法提升安全性与一致性。
OpenID Connect 设备码流(Device Flow)安全实战(轮询、速率与绑定)
在无键盘设备场景下实施 OIDC 设备码流,配置轮询速率与绑定策略,保障安全与用户体验,并提供验证方法。
CDN 边缘图像处理与变换策略(2025)
# CDN 边缘图像处理与变换策略(2025)
边缘图像处理将图像的裁剪与压缩下沉至离用户更近的节点。
## 一、变换与参数
- 变换:尺寸/裁剪/格式转换;统一参数与安全校验。
- 策略:限制最大尺寸与质量范围,避免滥用。
## 二、缓存与预热
- 缓存键:包含变换参数以区分产物。
- 预热:对热点与常用规格进行预热,降低冷启动。
## 三、观测与成本
- 指标:命中率与延迟与体积节省比
CSRF防护机制详解与企业级实施指南
全面阐述CSRF威胁模型与企业级防护方案,结合SameSite策略、令牌机制与来源校验,提供兼顾安全性与可用性的落地指南。
