在应用外部边界或内部每个组件或功能边界,都将其当做潜在的恶意输入来校验
白名单 不可信数据可以设定白名单校验的,应接受所有和白名单匹配的数据,并阻止其他数据
黑名单 不可信数据中包含不良输入字符时,如空字节...禁止错误回显 禁止系统开启 Debug模式或异常时返回包含敏感信息的提示,建议使用自定义的错误信息模板异常信息应存放在日志中用于安全审计
2.4 XSS跨站
说明 检查项
输入校验 对输入的数据进行过滤和转义...编码,输出到 Stylet中则进行CSs编码
2.5 XML注入
说明 检查项
输入校验 在XML文档内部或外部引用数据时,过滤用户提交的参数,如&等特殊字符。...验证码校验 禁止在响应中返回验证码,验证码校验应在服务端进行
3.4 密码管理
说明 检查项
密码设置 密码设置时,应该满足8位及以上长度,含大小写字母、数字及特殊字符等的要求。...,配置应用服务器使其以自定义的方式处理无法处理的应用程序错误,返回自定义错误信息
隐藏用户信息 禁止在系统异常时泄露用户的隐私信息,典型的有:身份信息、个人住址、电话号码、银行账号、通讯记录、定位信息等