学习手册：窥探Web前端黑客技术

维护人员关注：

• 永远不要相信客户端传来的任何信息，对这些信息都应先进行编码或过滤处理;
• 谨慎返回用户输入的信息;
• 使用黑名单和白名单处理(即“不允许哪些敏感信息”或“只允许哪些信息”，白名单的效果更好但局限性高);
• 检查、验证请求来源，对每一个重要的操作都进行重新验证;
• 使用SSL防止第三方监听通信(但无法阻止XSS、CSRF、SQL注入攻击);
• 不要将重要文件、备份文件存放在公众可访问到的地方;
• 会话ID无序化;
• 对用户上传的文件进行验证(不单单是格式验证，比方一张gif图片还应将其转为二进制并验证其每帧颜色值<无符号8位>和宽高值<无符号16位>);
• WSDL文档应当要求用户注册后才能获取;
• 在报头定义CSP(Content Security Policy)。

【本文是51CTO专栏作者“绿盟科技博客”的原创稿件，转载请通过51CTO联系原作者获取授权】

戳这里，看该作者更多好文

（编辑：通化站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!