安全防护体系

SECURITY

网站从第一天起就内置完整的安全防护。密码使用scrypt加密存储(非SHA-256),所有用户输入经过XSS过滤转义,请求速率限制防止恶意攻击,Gzip压缩+安全响应头保障传输安全。

防护层级

密码加密

scrypt+salt哈希存储,格式salt:hash,彩虹表无法破解

XSS过滤

所有用户输入写入前经esc()转义,HTML属性上下文双重防护

速率限制

每IP每分钟60请求上限,防止恶意刷接口

安全响应头

nosniff+DENY+referrer,防止点击劫持和MIME嗅探

返回首页