前端
CSRF 跨站请求伪造
客户端添加伪随机数,后台验证
验证码
中间人攻击
SSL证书加密
xss(跨站脚本攻击)漏洞,微软的字符检验(自动)
文本展示编码处理
做标签展示的文本尤其过滤脚本
Cookie HttpOnly
HttpOnly情况下js不能操作cookie,在一定情况下能够保证安全性
域设置
cookie域匹配(domian match)原则:Domain 形如.abc.com的cookie,会被发送给所有abc.com在80端口上的子域请求。反之不行。
最小化授权
Secure 启用此属性,浏览器仅仅会在Https请求中发送Cookie
Cookie 基础
名称不能包含特殊字符,转码后可以
值可以转码或加密
Expires 过期时间,GMT格式,不设时间关闭浏览器时自动删除,
Path 允许的路劲,"/" 表示全站
Domain 子域,
Secure 如果启用则只能https能访问
HttpOnly 脚本(js,applet)无法读取到Cookie信息
后台
Sql注入
预编译语句,就是客户端输入的数据作为参数传入sql中,不直接拼接
关闭错误显示,避免暴漏程序结构
数据库连接账户权限限制,(单独数据库的数据增删改查)
文件上传
后缀名判断(限制在图片格式)
判断文件前两个字符,如png的前两个二进制字符为8950,jpg为ffd8
用图片类初始化 获取width,height <=0的 屏蔽
文件重命名 (默认不显示目录,改名后,攻击者很访问)
认证与会话管理
密码 长度,组合,加密处理,3次后验证码,最多5次 封ip,支付密码,短信验证码
session过期时间
访问权限控制
后台权限系统,角色-功能点