- 博客(2)
- 资源 (11)
- 收藏
- 关注
原创 如何写安全的Java Web应用之输入校验(二):不要依赖客户端的校验
相信很多人都有这样的体验:在某网站注册用户,提交时,弹出一个对话框,提示你身份证号码不对,密码位数不对等信息。这往往就是采用JavaScript进行的客户端输入校验。但是,为了安全,最好不要依赖客户端的输入校验,输入校验应该放到服务器端去做。 如果一个web应用需要接受客户端的输入,那么往往对输入数据的长度、数值范围、类型等,都需要校验。客户端的校验是把校验放到浏览器里,由浏览器来
2009-08-12 18:32:00 2144
原创 如何写安全的Java Web应用之输入校验(一):不要在输出中包含Debug信息
在写程序的过程中,免不了有调试环节。除了使用Debug工具,很多开发人员都习惯在代码中写一些输出语句,以便找到问题所在。其实,在输出中包含Debug信息,有很多弊端,本文将通过简单例子,阐述为什么不应该在输出中包含Debug信息,以及如何解决这个问题。 因为Debug信息可能包含很多敏感信息,入调用栈、源代码片断等。所以,即使在开发期间Debug信息比较有用,但是在应
2009-08-12 16:56:00 1206
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人