Skill1.2k repo starsupdated 3mo ago
security-review
This security review skill provides comprehensive guidelines for implementing secure code practices across authentication, authorization, input validation, secrets management, API endpoint creation, and sensitive data handling. Use it when adding authentication mechanisms, processing user inputs, managing API keys or credentials, creating new API endpoints, handling file uploads, implementing payment functionality, or integrating third-party services.
Install in Claude Code
Copygit clone --depth 1 https://github.com/xu-xiang/everything-claude-code-zh /tmp/security-review && cp -r /tmp/security-review/.agents/skills/security-review ~/.claude/skills/security-reviewThen start a new Claude Code session; the skill loads automatically.
Definition
SKILL.md
# 安全审查技能(Security Review Skill)
本技能(Skill)旨在确保所有代码遵循安全最佳实践,并识别潜在的漏洞。
## 何时激活
- 实现身份验证(Authentication)或授权(Authorization)时
- 处理用户输入或文件上传时
- 创建新的 API 终端节点时
- 操作机密(Secrets)或凭据(Credentials)时
- 实现支付功能时
- 存储或传输敏感数据时
- 集成第三方 API 时
## 安全检查清单
### 1. 机密管理(Secrets Management)
#### ❌ 严禁这样做
```typescript
const apiKey = "sk-proj-xxxxx" // 硬编码机密
const dbPassword = "password123" // 在源代码中编写密码
```
#### ✅ 务必这样做
```typescript
const apiKey = process.env.OPENAI_API_KEY
const dbUrl = process.env.DATABASE_URL
// 验证机密是否存在
if (!apiKey) {
throw new Error('OPENAI_API_KEY not configured')
}
```
#### 验证步骤
- [ ] 无硬编码的 API 密钥(Keys)、令牌(Tokens)或密码
- [ ] 所有机密均存储在环境变量中
- [ ] `.env.local` 已包含在 .gitignore 中
- [ ] Git 历史记录中无机密信息
- [ ] 生产环境机密配置在托管平台(如 Vercel, Railway)
### 2. 输入校验(Input Validation)
#### 始终校验用户输入
```typescript
import { z } from 'zod'
// 定义校验模式(Schema)
const CreateUserSchema = z.object({
email: z.string().email(),
name: z.string().min(1).max(100),
age: z.number().int().min(0).max(150)
})
// 在处理前进行校验
export async function createUser(input: unknown) {
try {
const validated = CreateUserSchema.parse(input)
return await db.users.create(validated)
} catch (error) {
if (error instanceof z.ZodError) {
return { success: false, errors: error.errors }
}
throw error
}
}
```
#### 文件上传校验
```typescript
function validateFileUpload(file: File) {
// 大小检查(最大 5MB)
const maxSize = 5 * 1024 * 1024
if (file.size > maxSize) {
throw new Error('File too large (max 5MB)')
}
// 类型检查
const allowedTypes = ['image/jpeg', 'image/png', 'image/gif']
if (!allowedTypes.includes(file.type)) {
throw new Error('Invalid file type')
}
// 扩展名检查
const allowedExtensions = ['.jpg', '.jpeg', '.png', '.gif']
const extension = file.name.toLowerCase().match(/\.[^.]+$/)?.[0]
if (!extension || !allowedExtensions.includes(extension)) {
throw new Error('Invalid file extension')
}
return true
}
```
#### 验证步骤
- [ ] 所有用户输入均通过模式(Schemas)进行校验
- [ ] 文件上传受到限制(大小、类型、扩展名)
- [ ] 查询语句中不直接使用用户输入
- [ ] 使用白名单(Whitelist)校验而非黑名单
- [ ] 错误消息不泄露敏感信息
### 3. SQL 注入防御(SQL Injection Prevention)
#### ❌ 严禁拼接 SQL
```typescript
// 危险 - 存在 SQL 注入漏洞
const query = `SELECT * FROM users WHERE email = '${userEmail}'`
await db.query(query)
```
#### ✅ 务必使用参数化查询
```typescript
// 安全 - 参数化查询
const { data } = await supabase
.from('users')
.select('*')
.eq('email', userEmail)
// 或者使用原生 SQL
await db.query(
'SELECT * FROM users WHERE email = $1',
[userEmail]
)
```
#### 验证步骤
- [ ] 所有数据库查询均使用参数化查询
- [ ] SQL 中不使用字符串拼接
- [ ] 正确使用 ORM/查询构建器
- [ ] Supabase 查询已进行适当的清理(Sanitized)
### 4. 身份验证与授权(Authentication & Authorization)
#### JWT 令牌处理
```typescript
// ❌ 错误:存储在 localStorage(易受 XSS 攻击)
localStorage.setItem('token', token)
// ✅ 正确:使用 httpOnly cookies
res.setHeader('Set-Cookie',
`token=${token}; HttpOnly; Secure; SameSite=Strict; Max-Age=3600`)
```
#### 授权检查
```typescript
export async function deleteUser(userId: string, requesterId: string) {
// 务必先验证授权
const requester = await db.users.findUnique({
where: { id: requesterId }
})
if (requester.role !== 'admin') {
return NextResponse.json(
{ error: 'Unauthorized' },
{ status: 403 }
)
}
// 执行删除操作
await db.users.delete({ where: { id: userId } })
}
```
#### 行级安全性(Row Level Security, Supabase)
```sql
-- 在所有表上启用 RLS
ALTER TABLE users ENABLE ROW LEVEL SECURITY;
-- 用户只能查看自己的数据
CREATE POLICY "Users view own data"
ON users FOR SELECT
USING (auth.uid() = id);
-- 用户只能更新自己的数据
CREATE POLICY "Users update own data"
ON users FOR UPDATE
USING (auth.uid() = id);
```
#### 验证步骤
- [ ] 令牌(Tokens)存储在 httpOnly cookies 中(而非 localStorage)
- [ ] 敏感操作前进行授权检查
- [ ] 在 Supabase 中启用了行级安全性(RLS)
- [ ] 实现了基于角色的访问控制(RBAC)
- [ ] 会话管理安全
### 5. XSS 防御(XSS Prevention)
#### 清理 HTML
```typescript
import DOMPurify from 'isomorphic-dompurify'
// 始终清理用户提供的 HTML
function renderUserContent(html: string) {
const clean = DOMPurify.sanitize(html, {
ALLOWED_TAGS: ['b', 'i', 'em', 'strong', 'p'],
ALLOWED_ATTR: []
})
return <div dangerouslySetInnerHTML={{ __html: clean }} />
}
```
#### 内容安全策略(Content Security Policy)
```typescript
// next.config.js
const securityHeaders = [
{
key: 'Content-Security-Policy',
value: `
default-src 'self';
script-src 'self' 'unsafe-eval' 'unsafe-inline';
style-src 'self' 'unsafe-inline';
img-src 'self' data: https:;
font-src 'self';
connect-src 'self' https://api.example.com;
`.replace(/\s{2,}/g, ' ').trim()
}
]
```
#### 验证步骤
- [ ] 用户提供的 HTML 已清理
- [ ] 配置了 CSP 响应头
- [ ] 无未经校验的动态内容渲染
- [ ] 使用了 React 内置的 XSS 保护机制
### 6. CSRF 保护(CSRF Protection)
#### CSRF 令牌
```typescript
import { csrf } from '@/lib/csrf'
export async function POST(request: Request) {
const token = request.headers.get('X-CSRF-Token')
if (!csrf.verify(token)) {
return NextResponse.json(
{ error: 'Invalid CSRF token' },
{ status: 403 }
)
}
// 处理请求
}
```
#### SameSite Cookies
```typescript
res.setHeader('Set-Cookie',
`session=${sessionId}; HttpOnly; Secure; SameSite=Strict`)
```
#### 验证步骤
- [ ] 状态变更操作(State-changing operations)带有 CSRF 令牌
- [ ] 所有 Cookies 均设置了 SameSite=Strict
- [ ] 实现了双重提交 Cookie 模式(Double-submit cookie pattern)
### 7. 速率限制(Rate Limiting)
#### API 速率限制
```typescript
import rateLimit from 'express-rate-limit'
const limiter = rateLimit({
windowMs: 15 * 60 * 1000, // 15 分钟
max: 100, // 每个窗口期 100 个请求
message: 'Too many requests'
})
// 应用于路由
app.use('/api/', limiter)
```
#### 高消耗操作
```typescript
// 针对搜索等操作采取更严格的速率限制
const searchLimiter = rateLimit({
windowMs: 60 * 1000, // 1 分钟
max: 10, // 每分钟 10 个请求
message: 'Too many search requests'
})
app.use('/api/search', searchLimiter)
```
#### 验证步骤
- [ ] 所有 API 终端节点均设有速率限制
- [ ] 对高消耗操作设置更严格的限制
- [ ] 基于 IP 的速率限制
- [ ] 基于用户的速率限制(针对已验证用户)
### 8. 敏感数据泄露(Sensitive Data Exposure)
#### 日志记录
```typescript
// ❌ 错误:记录敏感数据
console.log('User login:', { email, password })
console.log('PaymentMore from this repository
api-designSkill
生产级 API 的 REST API 设计模式,包括资源命名、状态码、分页、过滤、错误响应、版本控制和速率限制。
article-writingSkill
编写文章、指南、博客、教程、时事通讯(Newsletter)等长内容,支持从示例或品牌指南中提取独特的语感语调。适用于需要撰写超过一个段落的精炼文本,尤其是对语气一致性、结构和可信度有较高要求时。
backend-patternsSkill
后端架构模式、API 设计、数据库优化以及 Node.js、Express 和 Next.js API 路由的服务端最佳实践。
coding-standardsSkill
TypeScript、JavaScript、React、Node.js 开发的通用编码标准、最佳实践和模式。
content-engineSkill
为 X、LinkedIn、TikTok、YouTube、时事通讯(Newsletters)以及跨平台内容重加工营销活动(Repurposed multi-platform campaigns)创建平台原生的内容系统。当用户需要社交媒体帖子、推文串(Threads)、脚本、内容日历,或将单一源素材清晰地适配到多个平台时使用。
e2e-testingSkill
Playwright E2E 测试模式、页面对象模型(POM)、配置、CI/CD 集成、产物管理以及不稳定测试(flaky test)策略。
eval-harnessSkill
适用于 Claude Code 会话的正规评测框架(Evaluation Framework),实现了评测驱动开发(Eval-Driven Development, EDD)原则
frontend-patternsSkill
React、Next.js、状态管理(State Management)、性能优化(Performance Optimization)及 UI 最佳实践的前端开发模式。