WEB应用系统安全规范目录WEB应用系统安全规范...................................................................11概述..............................................................................41.1目的............................................................................................................................................................................41.2适用范围....................................................................................................................................................................42范围..............................................................................43名词解释..........................................................................44WEB开发安全规范...................................................................54.1WEB应用程序体系结构和安全................................................................................................................................54.2WEB安全编码规范....................................................................................................................................................74.2.1区分公共区域和受限区域...................................................................................................................74.2.2对身份验证cookie的内容进行加密.................................................................................................74.2.3限制会话寿命.......................................................................................................................................74.2.4使用SSL保护会话身份验证Cookie...............................................................................................74.2.5确保用户没有绕过检查.......................................................................................................................74.2.6验证从客户端发送的所有数据...........................................................................................................84.2.7不要向客户端泄漏信息.......................................................................................................................84.2.8记录详细的错误信息...........................................................................................................................84.2.9捕捉异常...............................................................................................................................................84.2.10不要信任HTTP头信息.................................................................................................................84.2.11不要使用HTTP-GET协议传递敏感数据....................................................................................84.2.12不要在永久性cookie中存储敏感数据........................................................................................84.2.13对数据进行加密或确保通信通道的安全......................................................................................94.2.14SQL语句的参数应以变量形式传入.............................................................................................94.2.15页面中的非源代码内容应经过URI编码....................................................................................94.2.16页面中拼装的脚本应校验元素来源的合法性..............................................................................94.2.17页面请求处理应...
