best-practices

此技能為任何網頁專案提供了一套應用現代網頁開發標準的全面框架。它是為軟體工程師、前端開發人員以及重視安全性的團隊所設計，旨在將代碼庫與業界領先的實踐對齊，特別參考了 Google Lighthouse 指標與現代安全協定。該技能有助於識別並減輕與過時 API、不安全的網路配置與脆弱編碼模式相關的風險，同時推廣穩健、高效能且具備跨瀏覽器相容性的架構。

• 強制實施全站 HTTPS、HSTS 標頭，以及具備 nonce 的進階內容安全策略 (CSP)，以確保內聯腳本的安全性。

• 全面的安全性標頭審計，包括 X-Frame-Options、X-Content-Type-Options、Referrer-Policy 與 Permissions-Policy，以防止常見的點擊劫持、MIME 嗅探與未經授權的 API 訪問。

• 透過整合 npm 與 yarn 稽核流程進行依賴項漏洞管理，並減輕原型污染與不安全的數據處理模式。

• 針對字元編碼、響應式視窗 meta 標籤與 HTML5 doctype 要求執行現代標準。

• 策略性地使用瀏覽器特徵檢測、CSS @supports 與 polyfill 策略，取代已過時的瀏覽器嗅探技術。

• 優良代碼實踐，包括被動事件監聽器、async/await 模式、現代 JavaScript API，並避免使用 document.write 或同步 XHR 等反模式。

• 當您請求安全性審計、代碼品質審查或舊專案的現代化任務時，可觸發此技能。

• 此技能會分析代碼庫，識別諸如未經清理的 innerHTML 使用等風險模式，並以 textContent 或 DOMPurify 等安全替代方案取而代之。

• 它促進從 Application Cache 等過時功能向 Service Workers 等現代替代方案的過渡。

• 預期獲得包含特定代碼重構建議、標頭配置與基於當前最佳實踐的依賴項更新等可執行輸出。

• 在堆疊無關的環境中運作，使其與 React、Vue、Angular、Svelte、Next.js 與純 HTML/JavaScript 等框架相容。