Web应用CSP内容安全策略与XSS防护实践
以内容安全策略(CSP)与工程化手段防护XSS,提供可验证的指令组合与部署流程,确保前端安全基线可度量。
sp
包来源证书透明与吊销治理(CT-OCSP-CRL)最佳实践
对包来源站点启用证书透明与在线状态检查,并在吊销或异常时阻断与回退,增强来源可信度。
Content Security Policy(CSP)实战:脚本隔离、资源白名单与违规上报
以生产可用的方式部署 CSP,覆盖脚本隔离、资源白名单配置、nonce/hash 策略与违规上报,实现高强度前端安全防护
"前端内容安全事件采集与自动防护(CSP报告联动)最佳实践"
"将CSP报告与聚合联动到动态策略与自动阻断,构建前端内容安全的闭环防护体系。"
内容安全策略(CSP)自动化处置工作流实战
构建CSP报告聚合与自动化处置工作流,按来源与指令聚合统计,阈值触发白名单或黑名单更新并灰度发布策略,含速率限制与审计示例。
Web 安全与 CSP、SameSite、OAuth2 实战(2025)
Web 安全与 CSP、SameSite、OAuth2 实战(2025)Web 安全需要浏览器与服务端协同。本文聚焦 CSP、SameSite 与 OAuth2 的关键配置与实践。一、CSP 与 XSS 防御核心指令:`default-src`、`script-src`、`style-src`、`i
"Trusted Types 与 CSP:防 DOM XSS 的工程化落地"
"介绍 Trusted Types API 与 CSP 指令的协作方式,阐明在 DOM 注入点强制使用受信类型的规则,并给出创建策略与集成消毒库的实践。"
Secure Payment Confirmation(SPC):FIDO 支付确认与结算体验
使用 Secure Payment Confirmation 在浏览器内完成基于 FIDO 的支付确认,提升安全与转化,示例与兼容建议协同 Payment Request。
CSP连接端点治理(connect-src白名单)最佳实践
通过CSP的connect-src白名单限制fetch/XHR/WebSocket/Beacon等连接端点,降低数据泄露与恶意外联风险。
"CSP报告与Report-To聚合与监控最佳实践"
"结合Report-To与Reporting-Endpoints及legacy report-uri,构建CSP违规报告的统一采集与监控聚合,实现前端安全策略可观测。"
