Rumah > Java > javaTutorial > java在web开发安全性方面的总结

java在web开发安全性方面的总结

怪我咯
Lepaskan: 2017-06-25 10:22:06
asal
2554 orang telah melayarinya

1.       客户输入的原始数据进行校验不依赖于Script。虽然JavaScript等等的客户端的输入数据的校验即使比较方便也不能使用因为安全性方面的原因。脚本是不安全的,用户可能屏蔽脚本,我们可以将用户数据送入服务器端,在服务器上验证字符串的合法性。

2.       HTML的输入标识符中去除所有输入的尖括号'<' ' >',

3.       HTML埋进数据的时候有一定HTML编码('<' '>' '和' '"' ' ' ' →'是<' '>' '是μ"' ' &39;'的换每隔)了。(2)(3)由cross-site scripting(css)引起的,解决方法是避免脚本符号的出现。

 URLで許可される文字

 英数字「;」「/」「?」「:」「@」「&」「=」「+」「$」「,」「-」「_」「.」「!」「~」「*」「'」「(」「)」「%」

4.       需要保护的全部的网页要有用户认证机构。

登入后,把userID保存下来在SESSION中,在每个需要保护的页面追加脚本进行验证,如果session空,则验证失败,从新登陆。

<%
If Len(Session("ID")) = 0 Then
Response.Redirect "index.html"
End If
%>
Salin selepas log masuk

下列信息做特殊处理:

*密码

*Web邮件的邮件内容等等的个人用数据

*名字 年龄、住所的个人信息

*Web应用系统内部的数据构造

*Web服务器内部的最大限度定期票等等的各种系统信息

→[1-3.]

5. 事前可以推断的sessionID不能定义, →[1-3.]

6. 关键的重要的数据参数发送时不要出现在URL中

利用post传递参数。并且对策:

*根据SSL的密码化通信

*干扰策略。

*对话期间劫机对策

7. hidden字段的数据不能修改传递(hidden的值不能被显示,但是会被传递并且在html源文件中可以查看值,防止其值被修改并传递)不要用hidden去取数据,改善方法是可以利用session来保存hidden数据 →[1-5.]

8. 从WWW 浏览器被发送了的