技能分类 · 合规与隐私

合规与隐私

5 条技能技能中心第 7 类

本分类把法务与工程之间的「可落地条款」串起来：依赖的开源许可证义务、个人数据与 GDPR 场景下的处理记录、浏览器安全模型中的 CSRF 与 CORS、以及日志与提示词中的 PII 脱敏。与安全技术条目配合，区分「漏洞」与「合规模块」。

在技能中心中紧随安全类。下列五条与技能中心本类条目一致。

快速入口

依赖义务清单。

数据处理与同意。

Token 与同站 Cookie。

预检与凭证。

日志与提示中的敏感域。

梳理 MIT、GPL、AGPL 等对分发与源码开放的要求，在 CI 中扫描依赖树并生成义务清单；避免「拷贝代码」导致的传染性许可问题。

明确合法基础、数据主体权利、跨境传输与 DPA；工程侧落实同意记录、删除与导出接口，并与产品文案一致。

对状态改变请求使用 CSRF Token、SameSite Cookie 或双重提交等模式；注意 SPA 与跨站 API 组合的边界情况。

正确配置 `Access-Control-Allow-*`、预检缓存与凭证携带；避免 `*` 与通配子域的过度宽松。

在日志、追踪与 LLM 提示中识别邮箱、证件号等字段并掩码或哈希；与数据分级、保留策略及可观测性工具字段配置一致。