Web 栈安全与生产边界
审计言枢、言访、言讯、言页与言标 1.0 的跨层安全责任、信任升级点和部署边界。
Web 安全不是单一开关。稳定 1.0 的每一层只承诺自己能够验证的边界;最终应用仍需把 认证、授权、密钥、数据和部署策略连成完整威胁模型。
| 层 | 1.0 已提供 | 应用仍需负责 |
|---|---|---|
| 言标 | 普通插值自动转义,模板路径、大小、深度和循环预算。 | 可信内容来源、CSS/脚本/SVG 策略。 |
| 言页 | 节点与属性转义、保守 URL 协议、资源预算和安全渲染。 | CSP、富文本清洗、业务 URL 规则。 |
| 言讯 | 严格 HTTP/1.1、冲突分帧与首部注入防护、keep-alive、分块、Multipart、Cookie 和升级握手边界。 | TLS、并发调度、速率限制、可信代理和 WebSocket 帧。 |
| 言访 | 有界请求与响应、凭据校验、跨来源重定向脱敏、重试约束、Mock/回放和日志脱敏。 | 目标主机授权、密钥轮换、录制数据保管和响应业务校验。 |
| 言枢 | 请求/响应预算、安全首部、路径隔离、会话协议、同源双提交 CSRF、错误隐藏和无端口测试。 | 身份认证、业务授权、生产会话存储、审计、限流和隐私治理。 |
显式信任升级
言枢.言标.信任HTML、言页.原始和言页扩展节点都绕过部分默认防护,不是清洗器。
代码审查应搜索全部调用点,只允许源码常量、可信结构化生成结果,或经过适合当前 HTML
上下文的专用清洗器处理的内容。不要直接信任用户输入、数据库富文本、Markdown 原始
HTML 或第三方响应。
OpenAPI 提供器也是信任边界:言枢限制登记方式、复制和输出大小,但不替完整的 OpenAPI 3.1 语义校验。发布规范前应检查示例、默认值、内部主机和敏感描述。
服务端边界
言讯 1.0 的HTTP连接能够在单个连接上顺序处理 keep-alive、流水线、分块正文和分块
响应;它不负责接受循环、跨连接并发、TLS、代理信任或应用背压。
言枢内建服务器的边界更窄:它串行接受连接,每连接处理一个请求后关闭。它适合开发、 教学和集成验证,不是通用公网服务器。生产部署应使用成熟前置服务器终止 TLS、限制连接 与速率,再把请求交给受控应用宿主;只有明确配置并验证时才信任转发首部。
会话、Cookie 与 CSRF
言枢 1.0 已提供显式会话存储协议、编号轮换、空闲过期和安全 Cookie 配置。生产存储仍须
提供原子写入、并发更新策略、过期清扫、容量监控和静态数据保护。HTTPS 部署应使用
Secure、HttpOnly、合适的SameSite与尽可能严格的__Host-Cookie。
CSRF 中间件检查 Fetch Metadata、Origin/Referer 和双提交令牌。它只保护浏览器发起的 跨站状态变更,不能替代登录、授权、HTTPS 或防重放业务令牌。多源部署、跨站 API 和 非浏览器客户端都需要单独配置并审计。
出站请求
言访标准传输会执行运行时网络权限与证书校验,并对跨协议、主机或有效端口的受控重定向 移除认证和 Cookie 首部。最终应用仍应只授权必要主机,限制响应大小,并在解析 JSON、 言据或文件前验证媒体类型和业务 Schema。
录制回放文件可能含原始正文、首部和个人数据,应按凭据保管,不要把生产流量直接提交到 仓库。Mock 和无端口言枢传输不会验证 DNS、TLS、证书、代理或真实网络超时,不能替代 隔离环境中的网络集成测试。
上线检查
- 在顶层项目清单中只授予实际监听地址、目标主机和文件根。
- 由成熟前置服务器提供 TLS、连接预算、速率限制和可信代理配置。
- 为请求正文、响应正文、上传项、模板、静态文件和第三方响应设置上限。
- 对认证、授权、会话、CSRF、重定向和错误路径分别建立负例测试。
- 默认不记录 Authorization、Cookie、会话编号、CSRF 令牌、数据库密码或个人字段。
- 用真实客户端验证代理、Cookie、缓存、范围请求和跨来源行为。
尚未承诺的能力
稳定 1.0 不承诺生产级并发服务器、套接字级流式上传或下载、WebSocket 帧协议、HTTP/2、 HTTP/3、自动代理信任、分布式会话或全自动 OpenAPI Schema 反射。后续能力只有在威胁 模型、资源预算、协议负例和互操作测试同时完成后,才应进入稳定兼容面。