Security
- 只读门户:前端仅 GET 读取 /api/reports/*;无 POST/PUT/DELETE。
- 最小暴露:白名单端点:/api/healthz, /api/reports/summary.json, /api/reports/alignment_audit.json, /api/reports/freeze_hash.json。
- 防护:HSTS / CSP / X-Frame-Options / Referrer-Policy / Permissions-Policy / X-Content-Type-Options / CORP。
- 签名与幂等(客户端):上传需签名与 X-Idempotency-Key;短链绑定路径与方法。
- 隔离:展示与核心引擎物理隔离;下载产物来自冻结区(FREEZE)。
- 无追踪:不接入第三方跟踪脚本;仅匿名错误率统计。
- 脆弱性披露:欢迎负责任披露,详见下方“联系我”。
我们优先修复会影响确定性或证据链完整性的安全问题。