没人提醒你的 vibe 编码员清单

- 首先控制你的风险，例如数据库的速率限制器，除非你想要一张令人崩溃的账单
- 在 claude 代码终端中运行 /security-review 命令。最低限度的审计检查。务必严格执行，尤其是在上线之前
- 用户输入验证，绝不相信用户输入，即使是来自你自己的表单 (SQL/XSS 攻击)
- 搜索潜在的攻击向量。运行模拟测试你的安全性
- 确保策略设置正确，以防止用户数据交叉污染/泄露
- 依赖漏洞，供应链攻击是存在的，使用 npm audit 或等效工具
- 现在优先考虑效率，以免在规模扩大时出现意想不到的问题，无论是带宽、无用调用、多余的重渲染，还是浪费的状态更新
- 确定身份验证并确保使用正确的设置
- 错误处理，确保优雅应对
- 环境变量，不要在客户端代码中暴露你的 API 密钥
- 以文档为参考点，不要依赖 claude 了解所有内容
- 反复进行安全审计，直到你“脸都青了”，并考虑让第三方进行审查
- https/ssl，基础但容易被忽视的内容

我不敢自称是这方面的专家。但这些是你应该注意的一些常见风险。很可能我遗漏了很多内容，但这些能处理掉明显的问题，并提升你的安全水平至 0 以上

先把基础稳固，你会好得多。然后你可以尽情打造酷炫的实用工具

欢迎在下方分享你的安全建议。关于这个话题的认知越多越好