一、背景
团队最近频繁遭受网络攻击,引起了技术负责人的重视,笔者在团队中相对来说更懂安全,因此花了点时间编辑了一份安全开发自检清单,觉得应该也有不少读者有需要,所以将其分享出来。...编码,输出到 Stylet中则进行CSs编码
2.5 XML注入
说明 检查项
输入校验 在XML文档内部或外部引用数据时,过滤用户提交的参数,如&等特殊字符。...二次验证 在关键表单提交时,要求用户进行二次身份验证如密码、图片验证码、短信验证码等
Referer验证 检验用户请求中 Referer:字段是否存在跨域提交的情况
三、逻辑安全
3.1 身份验证...密码变更时,应短信或者邮件通知如用户是否是本人操作,告知其安全风险
密码找回 用户密码找回时,后端需要对注册手机号或邮箱进行二次验证,验证码和验证链接应发送至预先注册的地址,并设置有效期以防止暴力破解。...,如参数是否完整,时间戳和Token是否有效,调用权限是否合法等
可用性要求 调用的服务要求,调用满足等幂性即保持数据一致性,对调用频率和有效期进行限制
异常处理 调用的异常处理,调用行为实时检测,发现异常及时阻拦