下载后可任意编辑WEB 应用系统安全法律规范目 录WEB 应用系统安全法律规范................................11概述.................................................41.1目的.............................................41.2适用范围.........................................42范围.................................................43名词解释.............................................44WEB 开发安全法律规范.................................54.1WEB 应用程序体系结构和安全........................54.2WEB 安全编码法律规范..............................74.2.1...........................区分公共区域和受限区域74.2.2.................对身份验证 cookie 的内容进行加密74.2.3.....................................限制会话寿命74.2.4.................使用 SSL 保护会话身份验证 Cookie74.2.5.............................确保用户没有绕过检查74.2.6.......................验证从客户端发送的所有数据84.2.7.............................不要向客户端泄漏信息8下载后可任意编辑4.2.8...............................记录详细的错误信息84.2.9.........................................捕捉异常84.2.10............................不要信任 HTTP 头信息84.2.11..............不要使用 HTTP-GET 协议传递敏感数据84.2.12..............不要在永久性 cookie 中存储敏感数据84.2.13..............对数据进行加密或确保通信通道的安全94.2.14..................SQL 语句的参数应以变量形式传入94.2.15.............页面中的非源代码内容应经过 URI 编码94.2.16..........页面中拼装的脚本应校验元素来源的合法性94.2.17................页面请求处理应校验参数的最大长度94.2.18......................登录失败信息错误提示应一致104.2.19....................避开页面上传任意扩展名的文件104.2.20................避开接受页面中的主机磁盘路径信息104.2.21..............................第三方产品的合法性下载后可任意编辑105系统部署安全法律规范................................105.1部署架构和安全..................................105.1.1.................................网络基础结构组件115.1.2.....................................部署拓扑结构125.2部署操作安全法律规范..........