# 14. Security and Performance

定义全栈应用程序的安全和性能考虑：

## 14.1 安全要求

**前端安全：**
- **CSP头：** `default-src 'self'; script-src 'self' 'unsafe-inline'`
- **XSS防护：** 输入验证和输出编码
- **安全存储：** HTTP-only cookies存储敏感信息

**后端安全：**
- **输入验证：** Zod schema验证所有输入
- **速率限制：** 每分钟100次请求限制
- **CORS策略：** 仅允许信任的域名

**认证安全：**
- **令牌存储：** HTTP-only cookies + secure标志
- **会话管理：** JWT短期令牌 + Redis刷新令牌
- **密码策略：** 最小长度8位，包含数字和特殊字符

## 14.2 性能优化

**前端性能：**
- **包大小目标：** < 500KB gzipped
- **加载策略：** 代码分割和懒加载
- **缓存策略：** Service Worker缓存静态资源

**后端性能：**
- **响应时间目标：** < 100ms P95
- **数据库优化：** 索引优化和查询缓存
- **缓存策略：** Redis缓存频繁访问数据