security-review
在添加身份验证、处理用户输入、处理机密信息、创建API端点或实现支付/敏感功能时,请使用此技能。提供全面的安全检查清单和模式。
作者
affaan-m
分类
开发工具安装
热度:76
下载并解压到你的 skills 目录
复制命令,发送给 OpenClaw 自动安装:
下载并安装这个技能 https://openskills.cc/api/download?slug=sickn33-skills-cc-skill-security-review&locale=zh&source=copy
Security Review - 代码安全审查与漏洞检测工具
技能概述
Security Review 是一个全面的代码安全审查技能,帮助开发者在编写代码时遵循安全最佳实践,自动检测潜在安全漏洞,并提供完整的安全检查清单。
适用场景
1. 实现认证和授权功能时
当您的应用需要添加用户登录、注册或权限管理功能时,Security Review 能确保 JWT Token 正确存储在 httpOnly Cookie 中,授权检查在敏感操作前执行,以及 Supabase 行级安全(RLS)正确启用。
2. 处理用户输入和文件上传
处理来自用户的数据时最容易受到攻击。该技能提供 Zod 验证模式示例,指导您验证所有用户输入,限制文件上传的大小、类型和扩展名,防止恶意文件注入。
3. 创建 API 端点和敏感功能
开发支付接口、API 密钥管理或第三方集成时,Security Review 提供完整的安全检查清单,包括 SQL 注入防护、CSRF 保护、速率限制和敏感数据脱敏处理。
核心功能
1. 十大安全领域全覆盖
涵盖密钥管理、输入验证、SQL 注入防护、认证授权、XSS 防护、CSRF 保护、速率限制、敏感数据暴露、区块链安全和依赖安全,每个领域都有具体的代码示例和验证步骤。
2. 正反代码对比教学
每个安全知识点都提供"错误示范"和"正确做法"的对比代码,例如展示为什么不能使用 localStorage 存储 Token,而应使用 httpOnly Cookie,帮助开发者快速理解安全风险。
3. 部署前安全检查清单
提供 17 项必须检查的安全项目,从是否有硬编码密钥到是否启用了行级安全,确保在生产环境部署前不遗漏任何关键安全配置。
4. 自动化安全测试模板
包含完整的 TypeScript 测试用例示例,涵盖认证测试、授权测试、输入验证测试和速率限制测试,可直接集成到您的测试框架中。
常见问题
Security Review 技能支持哪些编程语言?
该技能主要针对 TypeScript/JavaScript 开发,特别适合 Next.js、React、Supabase 和 Node.js 项目。代码示例使用 TypeScript 编写,但安全原理同样适用于 Python、Java 等其他语言。
为什么不能用 localStorage 存储敏感信息?
localStorage 容易受到 XSS(跨站脚本攻击)的影响,攻击者可以通过注入恶意 JavaScript 代码读取 localStorage 中的所有数据。正确的做法是使用 httpOnly Cookie,它无法通过 JavaScript 访问,能有效防止 Token 窃取。
部署前必须检查哪些安全项目?
Security Review 提供的检查清单包括:无硬编码密钥、所有用户输入已验证、数据库查询使用参数化、用户内容已清理 XSS、启用 CSRF 保护、正确处理认证令牌、实施授权检查、启用速率限制、强制 HTTPS、配置安全头、错误处理不泄露敏感信息等 17 项关键检查。