日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

safety-specifications

接入微信城市服務，業(yè)務方需確保功能安全性。

常見安全檢查表

XSS

1. 輸入校驗：長度限制、值類型是否正確、是否包含特殊字符（如<>’”等）
2. 輸出編碼：根據(jù)輸出的位置進行相應的編碼，如HTML編碼、JavaScript編碼、URL編碼。
3. 輸出到HTML標簽之間時，對這些數(shù)據(jù)進行HTML Entity編碼
4. 輸出到HTML屬性里時，特殊字符編碼為&#xHH
5. 輸出到SCRIPT里時，對這些數(shù)據(jù)進行SCRIPT編碼，除了阿拉伯數(shù)字和字母，對其他所有的字符進行編碼，只要該字符的ASCII碼小于256。編碼后輸出的格式為\xHH
6. 輸出到Style屬性里時，對這些數(shù)據(jù)進行CSS編碼，除了阿拉伯數(shù)字和字母，對其他所有的字符進行編碼，只要該字符的ASCII碼小于256。編碼后輸出的格式為\HH
7. 輸出到HTML URL里時，對這些數(shù)據(jù)進行URL編碼，當需要往HTML頁面中的URL里插入不可信數(shù)據(jù)的時候，需要對其進行URL編碼

SQL注入

1. 最佳方式就是使用預編譯語句，綁定變量
2. 檢查數(shù)據(jù)類型
3. 使用安全函數(shù)，例如php的mysql_real_escape_string
4. 從數(shù)據(jù)庫自身來說，應使用最小權(quán)限原則，切記不要使用dba權(quán)限

上傳漏洞

1. 在客戶端和服務器端對用戶上傳的文件名和文件路徑等項目分別進行嚴格的檢查，尤其是服務端檢測不能少
2. 服務器端的檢查最好使用白名單過濾的方法，比如只允許jpg文件上傳等
3. 上傳目標路徑盡量不在web目錄下，如果在web目錄下去掉該目錄的可執(zhí)行權(quán)限
4. 慎用Fckeditor、ewebeditor等第三方上傳組件，歷史上曾出現(xiàn)多個漏洞

Struts2

歷史上Struts2框架出過多個高危漏洞，這些漏洞足以黑掉一個網(wǎng)站，要盡量使用最新版本

信息泄漏

1. 線上機器刪掉測試頁面，例如test.html，phpinfo.php等
2. 禁掉詳細的錯誤提示
3. 禁止顯示調(diào)試信息
4. 禁止將svn相關的文件更新到線上機器，例如.svn/entries

登錄安全

1. 登錄頁面最好加入驗證碼
2. 盡量使用https協(xié)議

會話安全

公眾號開發(fā)中通常將openid作為用戶身份標識，使用openid時要將openid設置到cookie中不要拼接到URL中例如http://www.qq.com/getuser?code=aaaaaa

管理頁面

Tomcat、jboss、weblogic等管理頁面可以做以下加個方面的安全策略

使用白名單的方式限制可以登錄的IP

如果不使用這些管理界面直接刪掉

平行權(quán)限問題

像訂單等場景需要格外注意平行權(quán)限問題，例如order?Id=111，是否order?Id=112就可以看到其他的訂單。對于這種情況的防御，可以加入校驗參數(shù)，order?Id=111&sign=hash(字符串常量+id)

支付金額問題

1. 涉及到微支付的web應用一定要嚴格按照微信支付官方網(wǎng)站的文檔設計
2. 確定用戶的支付金額與應付金額是否相等

當前名稱：創(chuàng)新互聯(lián)小程序教程：微信小程序城市服務接入安全檢測
鏈接URL：http://www.5511xx.com/article/ccehsec.html