防护 - 叶斌兵

API 签名与请求重放防护（2025）

API 签名与请求重放防护（2025）请求重放与篡改是常见攻击面。本文从签名机制与网关治理给出工程实践。一、签名与参数HMAC 签名：以密钥对规范化请求串进行 HMAC 计算。时间戳与 nonce：限定有效期并保证唯一性，防止重放。二、校验与容错网关校验：统一签名、时间窗口与 nonce 去重校验。

API设计与管理 2026年02月20日 0 点赞 0 评论 23 浏览

"CORP 资源策略：Cross-Origin-Resource-Policy 的防护与取舍"

"介绍 CORP 响应头的工作原理与适用场景，说明其对跨源资源加载与 XSSI/推测侧信道的防护作用，并给出配置建议与注意事项。"

负载均衡与代理 2026年02月20日 0 点赞 0 评论 28 浏览

CSRF防护与双重提交Cookie-Origin-Token协同最佳实践

通过SameSite属性、Origin/Referer校验与双重提交Cookie+令牌组合，构建可验证的CSRF防护方案，附令牌签发与校验中间件及验收清单。

前端框架 2026年02月20日 0 点赞 0 评论 39 浏览

Fetch Metadata请求门禁与跨站防护（Sec-Fetch-Site/Mode/Dest）最佳实践

通过统一的Fetch Metadata门禁策略，基于Sec-Fetch-Site/Mode/Dest判断并拒绝跨站危险请求，降低CSRF与XS-Leaks风险。

算法与数据结构 2026年02月20日 0 点赞 0 评论 7 浏览

防护

首页

防护

列表

默认

浏览次数

发布日期

API 签名与请求重放防护（2025）

"CORP 资源策略：Cross-Origin-Resource-Policy 的防护与取舍"

CSRF防护与双重提交Cookie-Origin-Token协同最佳实践

Fetch Metadata请求门禁与跨站防护（Sec-Fetch-Site/Mode/Dest）最佳实践

防护 首页 防护

列表 默认 浏览次数 发布日期

API 签名与请求重放防护（2025）

"CORP 资源策略：Cross-Origin-Resource-Policy 的防护与取舍"

CSRF防护与双重提交Cookie-Origin-Token协同最佳实践

Fetch Metadata请求门禁与跨站防护（Sec-Fetch-Site/Mode/Dest）最佳实践

防护

首页

防护

列表

默认

浏览次数

发布日期