性能优先
纯静态资源,无运行时后端。首屏即服务端缓存友好,无数据库、无会话状态、无 RCE 面。
01 // ABOUT
纯静态资源,无运行时后端。首屏即服务端缓存友好,无数据库、无会话状态、无 RCE 面。
CSP、HSTS、Referrer-Policy、Permissions-Policy 等响应头全开。禁止 iframe 嵌入,阻断混合内容。
架构透明、依赖可控。你看到的每一层防护都写在配置里,可审计、可复现。
02 // STACK
03 // CAPABILITIES
防火墙策略、SSH 硬化、服务最小化、自动安全更新与入侵检测基线。
静态优先架构、安全响应头、证书自动化、内容安全策略(CSP)落地。
运维脚本、部署流水线、健康检查与可重复的环境配置。
Linux 服务、API 设计、Python/Node 工程化,以及可维护的模块化架构。
04 // SECURITY MODEL
不是口号,是可验证的配置。下面每项都已在边缘层启用。
限制脚本来源,默认拒绝内联与未知域,降低 XSS 危害面。
强制 HTTPS,含 preload 友好策略,阻断协议降级攻击。
禁止被嵌套,配合 frame-ancestors 与跨域隔离策略。
关闭摄像头、麦克风、地理定位等无关浏览器能力。
strict-origin-when-cross-origin,减少外链信息泄漏。
无应用服务器、无数据库、无用户输入处理 — 攻击面接近为零。
点击按钮,从浏览器探测当前页面的安全相关响应头…