安全与隐私

安全措施

净读采用了多层安全机制来保护用户数据和网站安全：

人机验证

• 注册和登录使用 Cloudflare Turnstile 人机验证，防止自动化攻击

CSRF 保护

• 所有表单提交都经过 CSRF Token 验证，防止跨站请求伪造

敏感词过滤

• 使用 Aho-Corasick 算法 进行高效敏感词过滤
• 用户名、签名、博客内容、帖子内容、评论等都会经过过滤

SQL 注入防护

• 内置 19 种危险模式检测，有效防止 SQL 注入攻击

输入安全

• 所有用户输入都有长度限制
• 危险字符会被自动清理

频率限制

• API 接口：100 次/小时
• 敏感操作：20 次/小时
• 登录尝试：10 次/小时

数据安全

• 密码使用 SHA-256 加盐加密存储
• Cookie 设置 HttpOnly、SameSite=Lax 和 Secure 标志
• Token 使用 SHA256 签名验证

安全 HTTP 头

• X-Frame-Options
• X-Content-Type-Options
• X-XSS-Protection

反爬虫

• 自动检测并记录可疑访问行为

外部链接安全

点击网站上的任何外部链接时，系统会显示 跳转安全提示 页面，提醒你注意：

• 你即将离开净读网站
• 目标链接的安全性由目标网站负责
• 仅允许 http 和 https 协议的链接

隐私说明

• IP 归属地会在评论中展示（仅省/市级别）
• 聊天室消息对所有用户可见
• 账号密码经过加密，网站管理员也无法查看明文密码
• AI 聊天记录保存在你的浏览器本地