Credential Denylist at the Serialization Layer

该修复方案：在序列化层设置凭证拒绝列表。在任何标头值写入日志输出之前，先根据拒绝列表检查标头名称。若匹配则将值替换为 [REDACTED]。

CREDENTIAL_HEADERS = {
'authorization',
'cookie',
'x-api-key',
'x-auth-token',
'x-csrf-token',
'proxy-authorization',
}

def sanitize_headers(headers: dict) -> dict:
return {
k: '[REDACTED]' if k.lower() in CREDENTIAL_HEADERS else v
for k, v in headers.items()
}

Denylist 应放置在序列化层，而非日志查询层。日志查询层脱敏：凭证已写入磁盘后才进行处理，原始值依然存在，只是显示时被隐藏。序列化层脱敏：凭证永远不会写入磁盘，原始值不会进入日志文件、日志传输器或日志聚合器。

测试 Denylist

三种测试模式：

- 正向测试：包含 Authorization: Bearer token123 的请求，生成的日志条目中应显示 Authorization: [REDACTED]

- 负面示例：带有 Content-Type: application/json 的请求会生成日志条目，其中值保持不变

- 不区分大小写：AUTHORIZATION: Bearer token123 同样会生成 [REDACTED]（HTTP 标头名称不区分大小写）

Denylist 需要维护：新的凭证标头模式（例如自定义 X-Service-Auth 标头）需要显式添加。该修复是结构性的，但并非自我维护。

应用 Denylist

某团队配置 Nginx 访问日志格式以包含所有请求标头，用于调试生产事件。配置如下：

log_format debug_format '$remote_addr - $request - $http_authorization - $http_cookie';
access_log /var/log/nginx/debug.log debug_format;

他们解决了该事件并打算移除调试配置，但更改未在下一次部署周期（7 天后）前到达生产环境。