净化 不可信数据需实施各种净化处理时,应彻底删除恶意字符,只留下已知安全的字符,或者在处理前对它们进行适当编码或"转义",如数据输出到应用页面时对其进行HTML编码可防止脚本攻击
合法性校验 不可信数据的合法性校验包括...,包含但不限于"9%0&+V"等危险特殊字符
输出编码 输入数据输出到不同场景中进行不同形式的编码,如输出到HTML标签中则进行HTML编码输出到URL中则进行URL编码,输出到JS中则行 Script...3.3 图灵测试
说明 检查项
验证码生成 复杂度至少4位数字或字母,或者采用拼图等验证方式,一次一用,建议有效期不超过180秒
验证码使用 建议从用户体验和安全角度出发,可设计为当用户输错1次密码后自动弹出验证码输入框验证....
3.5 会话安全
说明 检查项
防止会话劫持 在应用程序进行身份验证时,建议持续使用HTTPS连接,认证站点使用HTTPS协议。...数据访问检查 防止封装好的数据对象被未授权使用,设置合理的据缓存区大小以防止耗尽系统资源,
应用文件处理 应用程序运行过程中创建的文件,需设置问权限(读、写、可执行),临时文件使及时删除
5.2 运行环境