14. Security and Performance

定义全栈应用程序的安全和性能考虑：

14.1 安全要求

前端安全：

CSP头： default-src 'self'; script-src 'self' 'unsafe-inline'
XSS防护： 输入验证和输出编码
安全存储： HTTP-only cookies存储敏感信息

后端安全：

输入验证： Zod schema验证所有输入
速率限制： 每分钟100次请求限制
CORS策略： 仅允许信任的域名

认证安全：

令牌存储： HTTP-only cookies + secure标志
会话管理： JWT短期令牌 + Redis刷新令牌
密码策略： 最小长度8位，包含数字和特殊字符

14.2 性能优化

前端性能：

包大小目标： < 500KB gzipped
加载策略： 代码分割和懒加载
缓存策略： Service Worker缓存静态资源

后端性能：

响应时间目标： < 100ms P95
数据库优化： 索引优化和查询缓存
缓存策略： Redis缓存频繁访问数据