01 Sep 12:文件上传 ■ 合法性校验场景:允许用户自定义上传文件的场景比如:用户头像上传,各种图片、文件、文档等资料上传。说明:进行文件上传时,在服务端对文件属性进行合法性校验,白名单形式检查文档类型(如文件的后缀名、文件头信息校验等)和大小(图片校验长、... Read more 0
27 Aug 11:CSRF ■ Token使用场景:在进行一些转账、订单操作、编辑删除文章、修改用户信息等重要操作的时候,需要确认当前操作请求是否由真实的用户主动发起的。说明:在重要操作的表单中增加会话生成的Token字段,一次一用,提交后在服务端校验该字段。P... Read more 0
26 Aug 07 会话安全 ■ 防止会话劫持场景: 系统登录入口。说明: 在应用程序进行身份验证时,建议持续使用HTTPS连接,认证站点使用HTTPS协议。如果连接是从HTTP跳转到HTTPS,需要重新生成会话标识符。禁止在HTTP和HTTPS之间来回转换,这可... Read more 0
26 Aug 10:敏感数据 ■ 客户端保存场景:在客户端需要保存用户信息时,为了防止泄露需要对其进行加密处理。说明:客户端保存敏感信息时,禁止其表单中的自动填充功能,以明文形式保存敏感信息。用户信息使用AES对称加密算法加密。■ 服务器保存场景:服务器端处理敏感... Read more 0
25 Aug 06 更加安全的密码管理 ■ 密码设置场景:用户注册、密码重置、密码找回时。说明:密码设置时,应该满足8位及以上长度,含大小写字母、数字及特殊字符等的要求。用户密码设置必须经过后端校验,不允许设置不满足复杂度要求的密码。PHP示例:后端验证密码复杂度。<... Read more 0
