OAuth2.1 与 OIDC API 安全最佳实践
概述OAuth2.1 强调对隐式流程的淘汰与 PKCE 的普及。OIDC 在身份层提供标准声明与发现机制,简化客户端集成与安全校验。已验证技术参数客户端:使用授权码 + PKCE;淘汰隐式流程Token 校验:验证 `aud`、`iss` 与签名(JWKs),拒绝过期与撤销的令牌刷新令牌:使用轮换(
最佳
OAuth刷新令牌旋转与撤销检测最佳实践
构建刷新令牌旋转与撤销检测方案,支持令牌家族(family)管理、重用检测与全家族吊销、短期访问令牌与精确scope传播,附签发与刷新示例。
OAuth设备授权与多因素挑战最佳实践
构建设备授权流程与多因素挑战协同的可验证方案,包含设备码签发与轮询节流、用户码校验、MFA挑战绑定与完成后令牌签发,附参数与时序校验。
Origin-Agent-Cluster隔离治理最佳实践
通过启用Origin-Agent-Cluster以隔离站点上下文,减少跨文档共享导致的侧信道与内存攻击面,并与COOP/COEP协同治理。
Service Worker更新与安全生命周期(skipWaiting/clientsClaim/版本化)最佳实践
构建可控且安全的Service Worker更新生命周期,使用版本化缓存、skipWaiting/clientsClaim与回退策略,保证离线与安全更新,附注册与缓存治理示例。
Storage Access API授权治理(hasStorageAccess/requestStorageAccess)最佳实践
通过统一的Storage Access API权限门禁,在跨站嵌入场景下按需授权Cookie访问,降低隐私风险并保障功能可用性。
Service Worker消息通道与来源治理(MessageChannel/clients)最佳实践
通过Service Worker的MessageChannel与clients来源治理,统一白名单与消息结构校验,保证页面与SW之间的可信通信。
node-gyp原生模块构建治理(工具链-平台-哈希)最佳实践
对原生模块的构建过程进行工具链与平台校验,并对产物执行哈希校验与来源治理,确保一致性与完整性。
Referrer-Policy治理与信息泄露防护(no-referrer/strict-origin-when-cross-origin)最佳实践
通过统一的Referrer-Policy策略与路径差异化治理,降低跨站跳转中的敏感信息泄露风险并保持必要可用性。
Privacy Sandbox浏览主题禁用(browsing-topics)最佳实践
通过Permissions-Policy禁用浏览主题(browsing-topics),避免页面访问主题数据,降低隐私与追踪风险。
