Cookie安全设置 会话标识符应放置在HTP或HTPS协议的头信息安全中,禁止以GET参数进行传递、在错误信息和日志中记录会话标识符
防止CSRF攻击 服务器端执行了完整的会话管理机制,保证每个会防止...禁止加载外部实体,禁止报错
输出编码 建议对XML元素属性或者内容进行输出转义
敏感信息 敏感信息传输 敏感信息传输时,禁止在GET请求参数中包含敏感信息,如用户名、密码、卡号等。...Referer验证 检验用户请求中 Referer:字段是否存在跨域提交的情况
文件上传安全 身份校验 进行文件上传时,在服务端对用户的身份进行合法性校验
合法性校验 进行文件上传时,在服务端对文件属性进行合法性校验...,发现异常及时阻拦
I/O操作 共享环境文件安全 在多用户系统中创建文件时应指定合适的访问许可,以防止未授权的文件访问,共享目录中文件的读/写/可执行权限应该使用白名单机制,实现最小化授权。...一旦出现异常,应该在日志中完整记录异常的发生时间、代码位置、报错详情、触发错误的可能用户等,重要系统的严重异常应该有报警的机制,及时通知系统运营者及时排查并修复题
自定义错误信息 在生产环境下,应用程序不应在其响应中返回任何系统生成的消息或其他调试信息