生态Web 与网络

Web 栈安全与生产边界

审计言枢、言访、言讯、言页与言标 1.0 的跨层安全责任、信任升级点和部署边界。

Web 安全不是单一开关。稳定 1.0 的每一层只承诺自己能够验证的边界;最终应用仍需把 认证、授权、密钥、数据和部署策略连成完整威胁模型。

1.0 已提供应用仍需负责
言标普通插值自动转义,模板路径、大小、深度和循环预算。可信内容来源、CSS/脚本/SVG 策略。
言页节点与属性转义、保守 URL 协议、资源预算和安全渲染。CSP、富文本清洗、业务 URL 规则。
言讯严格 HTTP/1.1、冲突分帧与首部注入防护、keep-alive、分块、Multipart、Cookie 和升级握手边界。TLS、并发调度、速率限制、可信代理和 WebSocket 帧。
言访有界请求与响应、凭据校验、跨来源重定向脱敏、重试约束、Mock/回放和日志脱敏。目标主机授权、密钥轮换、录制数据保管和响应业务校验。
言枢请求/响应预算、安全首部、路径隔离、会话协议、同源双提交 CSRF、错误隐藏和无端口测试。身份认证、业务授权、生产会话存储、审计、限流和隐私治理。

显式信任升级

言枢.言标.信任HTML言页.原始和言页扩展节点都绕过部分默认防护,不是清洗器。 代码审查应搜索全部调用点,只允许源码常量、可信结构化生成结果,或经过适合当前 HTML 上下文的专用清洗器处理的内容。不要直接信任用户输入、数据库富文本、Markdown 原始 HTML 或第三方响应。

OpenAPI 提供器也是信任边界:言枢限制登记方式、复制和输出大小,但不替完整的 OpenAPI 3.1 语义校验。发布规范前应检查示例、默认值、内部主机和敏感描述。

服务端边界

言讯 1.0 的HTTP连接能够在单个连接上顺序处理 keep-alive、流水线、分块正文和分块 响应;它不负责接受循环、跨连接并发、TLS、代理信任或应用背压。

言枢内建服务器的边界更窄:它串行接受连接,每连接处理一个请求后关闭。它适合开发、 教学和集成验证,不是通用公网服务器。生产部署应使用成熟前置服务器终止 TLS、限制连接 与速率,再把请求交给受控应用宿主;只有明确配置并验证时才信任转发首部。

会话、Cookie 与 CSRF

言枢 1.0 已提供显式会话存储协议、编号轮换、空闲过期和安全 Cookie 配置。生产存储仍须 提供原子写入、并发更新策略、过期清扫、容量监控和静态数据保护。HTTPS 部署应使用 SecureHttpOnly、合适的SameSite与尽可能严格的__Host-Cookie。

CSRF 中间件检查 Fetch Metadata、Origin/Referer 和双提交令牌。它只保护浏览器发起的 跨站状态变更,不能替代登录、授权、HTTPS 或防重放业务令牌。多源部署、跨站 API 和 非浏览器客户端都需要单独配置并审计。

出站请求

言访标准传输会执行运行时网络权限与证书校验,并对跨协议、主机或有效端口的受控重定向 移除认证和 Cookie 首部。最终应用仍应只授权必要主机,限制响应大小,并在解析 JSON、 言据或文件前验证媒体类型和业务 Schema。

录制回放文件可能含原始正文、首部和个人数据,应按凭据保管,不要把生产流量直接提交到 仓库。Mock 和无端口言枢传输不会验证 DNS、TLS、证书、代理或真实网络超时,不能替代 隔离环境中的网络集成测试。

上线检查

  • 在顶层项目清单中只授予实际监听地址、目标主机和文件根。
  • 由成熟前置服务器提供 TLS、连接预算、速率限制和可信代理配置。
  • 为请求正文、响应正文、上传项、模板、静态文件和第三方响应设置上限。
  • 对认证、授权、会话、CSRF、重定向和错误路径分别建立负例测试。
  • 默认不记录 Authorization、Cookie、会话编号、CSRF 令牌、数据库密码或个人字段。
  • 用真实客户端验证代理、Cookie、缓存、范围请求和跨来源行为。

尚未承诺的能力

稳定 1.0 不承诺生产级并发服务器、套接字级流式上传或下载、WebSocket 帧协议、HTTP/2、 HTTP/3、自动代理信任、分布式会话或全自动 OpenAPI Schema 反射。后续能力只有在威胁 模型、资源预算、协议负例和互操作测试同时完成后,才应进入稳定兼容面。

言枢言访言讯言页继续查看各层 API 与限制。