为什么现在做
最近访问日志出现 /api/config.js、/api/common.js、/api/config/env 等探测路径。本页把这些信号转成合法防守需求,不包含攻击脚本或扫描教程。
Log-signal defensive SEONo exploit steps
Config.js / common.js 泄露扫描的防守加固清单
面向 AI API 网关、静态站和轻量后端的防守型清单:禁止公开 config.js/env、修正 Nginx/OpenResty 规则、加安全响应头、做日志脱敏和上线后验证。
config.js 泄露前端环境变量安全API 网关加固OpenResty 安全Cloudflare headers
下载安全加固 ZIP(USDT 自动交付)查看 ClawSkills 模板商店下载包包含
- 前端构建产物与运行时配置分离,避免把密钥写进公开 JS。
- Nginx/OpenResty deny 规则与 Cloudflare 安全响应头模板。
- 上线后用 curl/日志检查确认 403/404 行为和无敏感值回显。
合规边界
只做防守、加固、日志脱敏和响应流程;不提供攻击脚本、漏洞利用、凭据收集或批量扫描自动化。
适合谁
适合运营 OpenAI-compatible API 网关、静态数字产品店、1Panel/OpenResty 站点、Cloudflare Worker/Pages 路由和轻量 Python/Node 后端的站长。
相关 ClawSkills 页面
ai-api-guides shop digital-product-skills ai-api-gateway-security-hardening-kit openai-api-env-hardening-kit
打开 DontCallMePretty 自动交付页