LxveAce/vibe-coding-website-security

# vibe-coding-website-security **在你使用 AI “氛围编程” 编写网站之前，请先让 AI 阅读本仓库。** AI 编码助手非常擅长处理理想路径 —— 但也因每次都会产生同样的安全漏洞和缺失部分而声名狼藉：客户端中的机密信息、缺乏真正的授权、IDOR、注入、缺失安全标头、全球可读的数据库、提示词注入。本仓库是一个简明且**易于 AI 助手阅读**的护栏：包含了常见的缺陷*以及* AI 经常遗忘的后端部分，每一个都提供了具体的修复方法和权威来源。 ## 适用对象 - **AI / 编码智能体** —— 阅读 [`AGENTS.md`](AGENTS.md)，遵守规则，并在“完成”前运行检查清单。 - **使用 AI 的人类** —— 将本仓库交给你的助手，让它停止发布那些老生常谈的漏洞。 ## 30 秒内即可使用 1. **将其指向你的 AI** —— 将本仓库的 URL 粘贴到工具的上下文中，**或者**将 [`AGENTS.md`](AGENTS.md) 放入你的项目中（它也可以作为 `CLAUDE.md` 或 Cursor 规则使用），**或者**将 [`llms.txt`](llms.txt) 输入给你的模型。 2. 要求它**按照 `AGENTS.md` 进行构建 / 重构**。 3. 在发布之前，让它运行 [`security/checklist.md`](security/checklist.md) 并报告它修复了哪些问题。 ## 包含内容 | 文件 | 内容说明 | |---|---| | [`AGENTS.md`](AGENTS.md) | AI 必须遵守的规则 + 如何使用本仓库 —— **入口点** | | [`security/vulnerabilities.md`](security/vulnerabilities.md) | **50 种**常见的 AI 编码漏洞 —— 现象 / 原因 / 修复 / 来源 | | [`security/checklist.md`](security/checklist.md) | 发布前的勾选清单 + 每次部署的发布门槛 | | [`security/http-security-headers.md`](security/http-security-headers.md) | 适用于静态主机 (Cloudflare) 的真实 HTTP 标头 + 脚本 | | [`engineering/beyond-code.md`](engineering/beyond-code.md) | “工程不仅仅是写代码” —— AI 遗漏的后端 / 系统设计部分 | | [`llms.txt`](llms.txt) | 为 LLM 提供的机器可读仓库映射 | ## 核心原则 (TL;DR) - AI 会针对*“能跑就行”*进行优化，而不是*“安全可靠”*。请默认生成的代码在权限上是开放（宽松）的。 - **永远不要信任客户端** —— 在服务器端重新校验每一项检查（认证、授权、验证、价格、角色）。 - **机密信息永远不要到达浏览器或 git。** 一个公开的密钥背后需要一个真正的授权边界（RLS / Security Rules）。 - **将 LLM 的输出视为不受信任的内容；赋予 AI 工具最低权限。** - **由人工审查**任何涉及认证、支付或其他用户数据的操作。 ## 来源 每一项修复都基于 OWASP（Top 10、API 安全 Top 10、LLM 应用 Top 10、ASVS、速查表）、MDN、 CWE、NIST 以及官方供应商文档 —— 每个条目都链接到了各自的来源。发现了遗漏或有更好的修复方案？ 请参阅 [`CONTRIBUTING.md`](CONTRIBUTING.md)。 ## 许可证 [MIT](LICENSE) —— 随意使用、fork，或者将其指向你的机器人。

标签：AI编程助手, DevSecOps, Libemu, Syscall, Web开发, 上游代理, 后端架构, 安全开发规范, 安全检查单, 防御加固