1、隶属于用户个人的页面或者功能必须进行权限控制校验。(防止没有做水平权限校验就可随意访问、修改、删除别人的数据,比如查看他人的私信内容、修改他人的订单。)
2、用户敏感数据禁止直接展示,必须对展示数据进行脱敏。(中国大陆个人手机号码显示为:137****0969,隐藏中间 4 位,防止隐私泄露。)
3、用户输入的 SQL 参数严格使用参数绑定或者 METADATA 字段值限定,防止 SQL 注入,禁止字符串拼接 SQL 访问数据库。
4、用户请求传入的任何参数必须做有效性验证。
5、禁止向 HTML 页面输出未经安全过滤或未正确转义的用户数据。
6、表单、AJAX 提交必须执行 CSRF 安全验证。(CSRF(Cross-site request forgery)跨站请求伪造是一类常见编程漏洞。对于存在 CSRF 漏洞的应用/网站,攻击者可以事先构造好 URL,只要受害者用户一访问,后台便在用户不知情的情况下对数据库中用户参数进行相应修改。)
Ajax 不是一种新的编程语言,而是一种用于创建更好更快以及交互性更强的Web应用程序的技术。
使用 JavaScript 向服务器提出请求并处理响应而不阻塞用户核心对象XMLHttpRequest。通过这个对象,您的 JavaScript 可在不重载页面的情况与 Web 服务器交换数据,即在不需要刷新页面的情况下,就可以产生局部刷新的效果。Ajax 在浏览器与 Web 服务器之间使用异步数据传输(HTTP 请求),这样就可使网页从服务器请求少量的信息,而不是整个页面。
CSRF即跨站请求攻击。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发
本文介绍了Web应用安全的重要规约,包括对用户权限的控制,敏感信息的脱敏处理,防止SQL注入的策略,参数有效性验证,以及防止跨站请求伪造(CSRF)攻击的措施。强调了Ajax的安全使用和CSRF攻击的危害,提醒开发者采取必要的防护措施,如限制请求次数、使用验证码等,以确保用户数据安全和平台资源不被滥用。
最低0.47元/天 解锁文章
扫一扫
393
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
