今天总结了一下常见web开发安全措施,因个人能力有限,总结如下,如有遗漏或者不全部对之处,欢迎大家公众号留言
1:敏感信息加密传输与存储(密码、银行卡号等等)
2:表单提交使用POST方式,不使用GET(太简单了,你肯定懂的)
3:参数名尽量简短模糊,切记不出现id=。。。,pwd=。。。。id等唯一性记录,不要设计为数值,尽量不作参数传递(防止被遍历1、2、3、4)
4:系统交互凭证加密cookie保存(跨域获取怎么解决呢。。。)
5:web交互信息需要做验证(防止SQL注入和js植入)
6:上传下载文件需要限制文件大小、文件类型以及操作频次
7:协议加密,防止破解
8:对登账号的登录行为进行画像(例如登录端是pc还是手机,浏览器UA类型,登录区域以及频次等等)
9:数据库启用预编译语句(防止SQL注入),数据查询做好数据权限控制(即使数据泄露也只是一下部分,而不是一个整体)
10:OS的系统文件禁止读写
11:启用https(写着写着多了一条)
扫一扫
228
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
