净化 不可信数据需实施各种净化处理时,应彻底删除恶意字符,只留下已知安全的字符,或者在处理前对它们进行适当编码或"转义",如数据输出到应用页面时对其进行HTML编码可防止脚本攻击
合法性校验 不可信数据的合法性校验包括...图灵测试 验证码生成 复杂度至少4位数字或字母,或者采用拼图等验证方式,一次一用,建议有效期不超过180秒
验证码使用 建议从用户体验和安全角度出发,可设计为当用户输错1次密码后自动弹出验证码输入框验证...会话安全 防止会话劫持 在应用程序进行身份验证时,建议持续使用HTTPS连接,认证站点使用HTTPS协议。如果连接是从防止会话劫持HTTP跳转到HTTPS,需要重新生成会话标识符。...,输出到 Stylet中则进行CSs编码
XML注入 输入校验 在XML文档内部或外部引用数据时,过滤用户提交的参数,如\&等特殊字符。...数据访问检查 防止封装好的数据对象被未授权使用,设置合理的据缓存区大小以防止耗尽系统资源,
应用文件处理 应用程序运行过程中创建的文件,需设置问权限(读、写、可执行),临时文件使及时删除
运行环境 最小化开放端口