绝对不要公开
- 任何 token / API Key / webhook secret / refresh token。
- 设备绑定信息、会话导出、用户消息与原始请求体。
- 服务器 IP、内网地址、端口映射、真实目录与服务单元名。
- 完整日志(尤其包含报错堆栈、请求头、环境变量的片段)。
公开内容怎么写才安全
- 用占位符:<TOKEN>、<API_KEY>、<HOST>。
- 只写结构,不写值:写字段名、约束、默认值,别写你的真实值。
- 只写“最小必要”:一段命令只保留关键参数,其他留空让读者自行替换。
# 示例:不要贴真实 host、端口、路径与 token
ssh -N -L <LOCAL_PORT>:<REMOTE_HOST>:<REMOTE_PORT> user@host
网站侧防护建议(最小集合)
- 关闭“未知路径返回 200 首页”的 SPA 兜底,避免扫描器误判。
- 屏蔽任何内部产物目录(例如 /internal/、/logs/、/.git/)。
- 不把自动巡检产物放在 Web 根目录,或至少在 Nginx 层 404 掉。
写作自检清单
- 全文搜索:token、key、secret、Authorization、Cookie。
- 检查截图:是否包含地址栏、控制台、日志、私有域名。
- 检查附件:是否误传了 .env、config、备份文件。