1、私有链接:
前端代码里有私有链接,如172.16,即便被注释,也会被利用,应该用域名代理
2、安全内容策略:
未配置安全内容策略,网页存在被挂载第三方的链接的风险,解决办法:配置全局安全内容策略如:
response.addHeader("Content-Security-Policy", "default-src 'self' https: <a href="http://api.map.baidu.com/">http://api.map.baidu.com</a> 'unsafe-inline' 'unsafe-eval'; frame-src * gxtbm:;img-src * blob: data: https:;");
但如果代码里面需要引用安全的第三方API、JS、图片等需要在配置里添加例外
3、不安全第三方链接:
a标签中链接打开的页面是可以通过.opener获取源页面的部分控制权,解决办法:如果打开的链接为第三方不可控的链接,需要加上rel="noopener noreferrer"
4、httponly:
设置Cookie时,一般要加上httponly属性,防止Cookie被利用JS代码获取,如:
response.addHeader("Set-Cookie","LIEMS_USERLOGIN_USERPWD_COOKIE="+userPWD+"; Path=/;max-age=30*24*60*60;HttpOnly");