1. Cookie 安全- HttpOnly：禁止 JS 读取，降低 XSS 风险- Secure：仅 HTTPS 传输- SameSite：防止 CSRF2. Nginx 安全配置- 禁用危险 HTTP 方法- 配置安全头部- 反向代理 & 路径隔离3. CORS 跨域- 设置白名单，不使用 *- 严格限制允许的源4. HTTP 方法- 仅使用 GET/POST- 禁用 TRACE、PUT、DELETE 等危险方法5. 域名压降（多应用隔离）- 同一主域名，使用路径前缀隔离：/portal/ /admin/- public_base_URL：仅控制前端静态资源路径- 网关域名：由 Nginx/Ingress 统一暴露，不写死在前端统一前端网关，分布式转发，多页面应用， 同一主域名下，用「二级路径前缀」隔离多个应用，而不是每个应用单独一个域名（域名压降），虚拟前缀public_urlpublic_base_URL（比如 /portal/、/admin/）：是前端静态资源 / 路由的虚拟路径前缀，只管「页面、js、css、图片」的访问路径，不管网关域名。前端网关域名：是Nginx/Ingress/API Gateway 对外暴露的域名，配置在反向代理 / 网关服务器上，不在前端代码里。6. 405 Method Not Allowed请求方法被服务器拒绝