HTTP 安全头综合实践:HSTS、Expect-CT、Referrer-Policy 与升级策略
系统化配置 HTTP 安全头,覆盖 HSTS/Expect-CT/Referrer-Policy 与升级策略,提供服务器与边缘环境的配置示例与可验证的风险降低指标
poli
Permissions-Policy:特性治理与最小授权实践
通过服务器头或 iframe 精确限制特性使用范围,以最小授权原则防止滥用并改善合规与安全性。
Referrer-Policy 与 rel=noopener noreferrer 安全治理实践
在响应头与链接层面治理来源信息泄露与 opener 攻击风险,给出 Referrer-Policy 与 rel=noopener noreferrer 的组合实践与在 Next.js 的注入示例。
Reporting API 管线:汇聚 CSP/COEP/Permissions-Policy 违例
介绍 Reporting API 的端点配置与数据格式,构建统一的前端安全报告管线,以低开销收集 CSP、COEP、Permissions-Policy 等策略违例。
Next.js 15 HSTS 与 Permissions-Policy 安全头治理实践
在 Next.js 15 中设置 HSTS 与 Permissions-Policy 安全头,强制 HTTPS 并限制浏览器能力使用,提供 Middleware 注入与治理建议示例。
Permissions-Policy设备与传感器权限治理(camera/microphone/geolocation/sensors)最佳实践
通过Permissions-Policy对白名单页面与来源精细限制摄像头、麦克风、定位与传感器,降低越权与隐私风险。
Referrer-Policy 最佳实践:隐私与分析的平衡
"解释 Referrer-Policy 的各策略含义与默认行为,给出跨站隐私保护与站内分析之间的权衡建议,并提供配置示例。"
Next.js 15 Middleware Cookie Consent 与 Permissions-Policy 开关治理实践
在中间件中基于用户隐私偏好(Cookie Consent)动态设置 Permissions-Policy 与相关功能开关,示例涵盖同源能力限制与第三方脚本治理。
Referrer-Policy:隐私与分析的权衡
"介绍 Referrer-Policy 的各策略差异与默认行为,阐述对隐私与分析的影响,给出站点推荐配置与示例。"
Permissions-Policy(浏览器特性权限)安全管控最佳实践
"以Permissions-Policy为核心,通过特性权限白名单与iframe沙箱约束,构建可验证的浏览器特性安全管控与最小授权策略。"
