学习手册：窥探Web前端黑客技术

维护职员存眷：

• 永久不要信托客户端传来的任何信息，对这些信息都应先举办编码或过滤处理赏罚;
• 审慎返回用户输入的信息;
• 行使黑名单和白名单处理赏罚(即“不应承哪些敏感信息”或“只应承哪些信息”，白名单的结果更好但范围性高);
• 搜查、验证哀求来历，对每一个重要的操纵都举办从头验证;
• 行使SSL防备第三方监听通讯(但无法阻止XSS、CSRF、SQL注入进攻);
• 不要将重要文件、备份文件存放在公家可会见到的处所;
• 会话ID无序化;
• 对用户上传的文件举办验证(不光单是名目验证，例如一张gif图片还应将其转为二进制并验证其每帧颜色值<无标记8位>和宽高值<无标记16位>);
• WSDL文档该当要求用户注册后才气获取;
• 在报头界说CSP(Content Security Policy)。

【本文是51CTO专栏作者“绿盟科技博客”的原创稿件，转载请通过51CTO接洽原作者获取授权】

戳这里，看该作者更多好文

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!