安全
Lovable 的安全功能
API 密钥
Lovable 用于编写前端代码,这意味着它在浏览器中运行。因此,绝不应在代码中存储任何敏感数据。
要连接第三方服务(如 OpenAI、Anthropic 等),需要 API 密钥。我们建议您使用 Supabase 机密来存储 API 密钥,并结合 Supabase Edge Functions。
自动 API 密钥检测
每当您在聊天中粘贴 API 密钥时,Lovable 会自动检测它并警告您不要直接在前端代码中硬编码敏感凭证。相反,请描述您要实现的目标,Lovable 会一步步指导您安全地实现它。
例如,不要这样说: "添加此 API 密钥来调用 OpenAI:sk_test_abc123…"
而要这样说: "我想集成 OpenAI 的 API 来生成文本响应"
Lovable 会向您展示如何:
- 在 Supabase 机密中安全存储您的 API 密钥。
- 创建一个 Supabase Edge Function,在服务器端进行 API 调用。
- 从您的前端代码中调用该 Edge Function。
这种方法可以保持您的敏感凭证安全,并遵循 Web 应用程序的安全最佳实践。
Supabase RLS(行级别安全)
RLS 策略决定了谁可以访问 Supabase 数据库中的哪些数据。我们建议您在发布项目前仔细审查这些策略。
安全扫描
在发布前,Lovable 会显示来自 Supabase 安全顾问 的安全警告,并要求您确认是否仍要发布(如果有任何警告)。
我们强烈建议您在发布项目前解决所有问题,从而保护您的应用程序数据安全。
即使 Supabase 安全顾问没有显示任何警告或错误,也不能保证您的应用程序不存在安全问题。我们建议您在发布前让 Lovable 审查您的应用程序安全。
安全扫描
Lovable 包含全面的 AI 驱动安全扫描功能,可帮助您在发布前识别代码中的潜在漏洞。
增强的 RLS 策略审查
Supabase 安全顾问有时可能会忽略 RLS(行级别安全)的错误使用。为解决这个问题,Lovable 包括了一个深入的代码安全审查,使用 AI 分析您的应用程序,检测 Supabase 内置顾问无法捕捉到的潜在安全问题。这为 RLS 策略问题提供了额外的覆盖,并建议具体的修复方案。
手动安全审查
您可以随时请求安全审查,例如通过让 Lovable 执行“审查我的应用程序安全”或在发布对话框中点击“审查安全”按钮。
Lovable 会:
- 分析您的整个代码库,查找安全漏洞
- 检查常见问题,如 XSS 防护、输入清理和身份验证缺陷
- 审查您的 Supabase RLS 策略和数据库安全(比 Supabase 自身的顾问更深入)
- 提供详细报告,其中包含具体的建议
发布前安全检查
在发布前,Lovable 会自动显示来自 Supabase 安全顾问及其自身增强型 AI 安全扫描器的安全警告。如果有任何警告,您会被要求确认是否继续发布,不过我们强烈建议您在发布前解决所有问题,从而保护您的应用程序数据安全。
请记住:即使没有警告,对于生产环境应用程序,也始终应请求手动安全审查。