禁止加载外部实体,禁止报错
输出编码 建议对XML元素属性或者内容进行输出转义
2.6 CSRF跨站请求伪造
说明 检查项
Token使用 在重要操作的表单中增加会话生成的 Token字段次一用,提交后在服务端校验该字段...在多个验证操作中,要对各验证机制进行排序,以防出现跳过前面验证机制直接到最后步认证的安全风险
密码使用 应用开发中禁止设置万能密码、硬编码明文的密 码、使用数据库管理员账户操作、不同用户公用账 户操作或者将密码输出到日志文件或者控制台...,并通知用户是否是本人操作,告知存在的安全风险
3.7 文件上传安全
说明 检查项
身份校验 进行文件上传时,在服务端对用户的身份进行合法性校验
合法性校验 进行文件上传时,在服务端对文件属性进行合法性校验...客户端保存 客户端保存敏感信息时,禁止其表单中的自动填充功能、以明文形式保存敏感信息
服务端保存 服务端保存敏感信息时,禁止在程序中硬编码敏感信息,明文存储用户密码、身份证号、银行卡号、持卡人姓名等敏感信息...,临时写入内存或文件中的敏感数据,应及时清除和释放
敏感信息维护 敏感信息维护时,禁止将源码或SQL库上传到开源平台或社区,如 Github、开源中国等。