Cookie安全属性设计:HttpOnly、Secure与SameSite
从 Cookie 的属性与作用域设计入手,降低 XSS/CSRF 风险并明确域与路径边界。
技术教程
Crypto.getRandomValues:安全随机数与密钥材料
使用 `crypto.getRandomValues` 生成加密安全的随机数与密钥材料,避免使用 `Math.random` 等不安全来源,给出长度与类型建议。
Elasticsearch ILM生命周期策略治理
通过 ILM 在热/温/冷/删除阶段自动滚动、压缩与合并,降低成本并保障查询性能。
FedCM登录与身份提供方治理(providers/mediation/nonce)最佳实践
通过FedCM对身份提供方列表、mediation策略与nonce绑定进行治理,在浏览器端实现安全一致的联邦登录体验并降低钓鱼风险。
Fetch Metadata与跨站泄露(XS-Leaks)防护最佳实践
以Fetch Metadata为核心,通过服务器端策略拒绝跨站危险请求,结合COOP/COEP与CSP,构建系统性的XS-Leaks防护。
Fetch Metadata请求门禁与跨站防护(Sec-Fetch-Site/Mode/Dest)最佳实践
通过统一的Fetch Metadata门禁策略,基于Sec-Fetch-Site/Mode/Dest判断并拒绝跨站危险请求,降低CSRF与XS-Leaks风险。
Flyway/Liquibase数据库迁移版本化与回滚实践
使用 Flyway/Liquibase 管理数据库迁移,实施版本化与校验、回滚与变更日志、CI/CD 集成与环境差异治理,并提供验证方法。
FormData 与 Blob:二进制上传与 multipart 构造
介绍 `FormData` 与 `Blob/File` 的构造与上传,用 `fetch` 提交 `multipart/form-data`,处理文件与元数据,并给出可靠性与安全建议。
HSTS预加载与TLS安全响应头治理
使用 HSTS 强制 HTTPS,并配置预加载与安全响应头,降低降级与中间人风险,统一域安全基线。
HSTS预加载与子域覆盖(includeSubDomains/preload)最佳实践
通过统一的HSTS策略与预加载规范、子域覆盖与时长上限控制,强制HTTPS并降低降级与劫持风险。
HTTP Content-Digest与完整性校验治理
使用 Content-Digest/Want-Digest 对响应/请求进行端到端完整性校验,配合缓存与范围请求确保实体一致。
HTTP Content-Digest与消息体完整性治理
使用 `Content-Digest`/`Digest` 对消息体建立摘要并在端到端校验,与消息签名协同保障实体完整性。
Istio 服务网格流量治理与策略(2025)
# Istio 服务网格流量治理与策略(2025)
Istio 在服务间引入可编程流量控制与安全策略,降低耦合并提升韧性。
## 一、路由与策略
- VirtualService:按路径/头部/权重路由与灰度。
- DestinationRule:连接池与熔断与重试与负载均衡。
## 二、安全与加密
- mTLS:服务间双向加密与身份校验。
- 授权策略:细粒度访问控制与审计。
## 三、
