禁止页面缓存
描述:
为防止用户退出后,点击浏览器的后退按钮仍可以显示用户退出前访问的租后一个页面。
解决措施:
需要强制所有的页面不缓存。
文件上传校验
描述:
网站存在上传文件的功能,恶意用户可以绕过客户端页面的验证,模拟请求上传文件处理服务端,将一些可运行页面(例如:jsp、php、asp等)上传到服务端,访问该页面会对网站安全造成很大的影响。
解决措施:
1. 客户端对上传文件类型做校验。
2. 上传处理服务端对文件类型进行二次校验。
3. 文件上传到服务器之后,如果是属于临时文件,则在业务逻辑处理完成之后,将该原始文件删除。
注:还有其他文件上传方式(比如彩信的上行jsp附件,就不能防止web路径下)