快三平台

新闻动态

News

Web安全原则应这样设计,你不知道吧

Web安全原则设计

 

     1、认证模块必须采用防暴力破解机制,例如:验证码或者多次连续尝试登录失败后锁定帐号或IP。

     说明:如采用多次连续尝试登录失败后锁定帐号或IP的方式,需支持连续登录失败锁定策略的“允许连续失败的次数”可配置,支持在锁定时间超时后自动解锁。
 


 

 2、对于每一个需要的授权访问的页面或servlet请求必须是用户的会话ID,以验证是否合法,该用户是否被授权来执行该操作,以防止未经授权的URL。

     说明:禁止用户通过直接输入网址,网址越权,请求和执行一些页面或servlet建议通过过滤器实现。

     3、在登录的过程中,将HTTPS的安全协议(SSL),必须使用进行的用户名和密码到服务器。只提供访问本机,登录,并且不需要使用设备管理风光一时。

     说明:如果在客户端和服务器间传递如帐号、口令等敏感数据,必须使用带服务器端证书的SSL。由于SSL对服务端的CPU资源消耗很大,实施时必须考虑服务器的承受能力。

     4、对用户的最终认证处理过程必须放到服务器进行。

     5、用户生成的数据必须是在服务器检查;在输出到以前的客户数据必须去的HTML代码,以防止恶意代码,跨站点脚本攻击的执行。对于不可靠的数据,输出到客户机必须首先进行的HTML编码。

     6、使用主流Web安全扫描工具扫描Web服务器和Web应用,不存在“高”级别的漏洞。

     7、非嵌入式产品的Web应用,应使用预编译语句PreparedStatement代替直接的语句执行Statement,以防止SQL注入。

Copyright © 2002-2020 云尖(北京)软件有限公司 版权所有 | 法律声明 | 联系我们 | 
 
湖南幸运赛车走势图 冠军彩票投注 快3投注网 内蒙古11选5走势图 辽宁11选5 冠军彩票开户 广东快乐十分 快3网上购买 上海11选5计划 状元彩票平台