best-practices

此技能为任何网页项目提供了一套应用现代网页开发标准的全面框架。它是为软件工程师、前端开发人员以及重视安全性的团队所设计，旨在将代码库与业界领先的实践对齐，特别参考了 Google Lighthouse 指标与现代安全协议。该技能有助于识别并减轻与过时 API、不安全的网络配置与脆弱编码模式相关的风险，同时推广稳健、高性能且具备跨浏览器兼容性的架构。

• 强制实施全站 HTTPS、HSTS 标头，以及具备 nonce 的高级内容安全策略 (CSP)，以确保内联脚本的安全性。

• 全面的安全性标头审计，包括 X-Frame-Options、X-Content-Type-Options、Referrer-Policy 与 Permissions-Policy，以防止常见的点击劫持、MIME 嗅探与未经授权的 API 访问。

• 通过整合 npm 与 yarn 稽核流程进行依赖项漏洞管理，并减轻原型污染与不安全的数据处理模式。

• 针对字符编码、响应式视窗 meta 标签与 HTML5 doctype 要求执行现代标准。

• 策略性地使用浏览器特征检测、CSS @supports 与 polyfill 策略，取代已过时的浏览器嗅探技术。

• 优良代码实践，包括被动事件监听器、async/await 模式、现代 JavaScript API，并避免使用 document.write 或同步 XHR 等反模式。

• 当您请求安全性审计、代码质量审查或旧项目的现代化任务时，可触发此技能。

• 此技能会分析代码库，识别诸如未经清理的 innerHTML 使用等风险模式，并以 textContent 或 DOMPurify 等安全替代方案取而代之。

• 它促进从 Application Cache 等过时功能向 Service Workers 等现代替代方案的过渡。

• 预期获得包含特定代码重构建议、标头配置与基于当前最佳实践的依赖项更新等可执行输出。

• 在堆栈无关的环境中运作，使其与 React、Vue、Angular、Svelte、Next.js 与纯 HTML/JavaScript 等框架兼容。