禁止错误回显 禁止系统开启 Debug模式或异常时返回包含敏感信息的提示,建议使用自定义的错误信息模板异常信息应存放在日志中用于安全审计
2.4 XSS跨站
说明 检查项
输入校验 对输入的数据进行过滤和转义...在多个验证操作中,要对各验证机制进行排序,以防出现跳过前面验证机制直接到最后步认证的安全风险
密码使用 应用开发中禁止设置万能密码、硬编码明文的密 码、使用数据库管理员账户操作、不同用户公用账 户操作或者将密码输出到日志文件或者控制台...Cookie安全设置 会话标识符应放置在HTP或HTPS协议的头信息安全中,禁止以GET参数进行传递、在错误信息和日志中记录会话标识符
防止CSRF攻击 服务器端执行了完整的会话管理机制,保证每个会防止...一旦出现异常,应该在日志中完整记录异常的发生时间、代码位置、报错详情、触发错误的可能用户等,重要系统的严重异常应该有报警的机制,及时通知系统运营者及时排查并修复题
自定义错误信息 在生产环境下,应用程序不应在其响应中返回任何系统生成的消息或其他调试信息...,配置应用服务器使其以自定义的方式处理无法处理的应用程序错误,返回自定义错误信息
隐藏用户信息 禁止在系统异常时泄露用户的隐私信息,典型的有:身份信息、个人住址、电话号码、银行账号、通讯记录、定位信息等