网站开发常规安全规范(持续更新)

针对网站开发中常见的安全问题,整理一些常见开发规范。(持续更新)

1) SQL注入

必须使用占位符生成所有SQL语句。

通过串联构建SQL语句时,请使用数据库引擎提供的特殊API来执行转义,并正确地组成SQL语句中的文字。

不要直接将传递给web应用程序的参数写入SQL语句(必须过滤传入参数,并且使用占位符组成SQL语句)。

限制显示在web浏览器上的错误消息,避免出现具体SQL错误等提示。

向数据库帐户授予最低权限。

2) OS命令注入

避免开放、使用可能调用shell命令的函数或接口。

当使用可以调用shell命令的函数时,请检查组成shell参数的所有变量,并确保只执行那些被授权执行的变量。

3) 未检查路径名参数/目录信任

不要直接使用外部参数指定存储在web服务器上的文件的名称。

使用固定目录来处理文件名,并去除文件名中的目录名。

正确管理文件访问权限。

检查文件名。

4) 会话管理不完备

使用HTTPS:确保应用使用HTTPS来加密所有的请求和响应数据,从而防止会话信息在网络中明文传输,减少中间人攻击的风险。

安全的Cookie设置:设置HttpOnly标志,防止通过JavaScript访问Cookie,增加Cookie的安全性。设置Secure标志,确保只有通过HTTPS传输时才能使用Cookie。

登录会话标识(Session ID):在每次请求时强制用户提供一个唯一的会话标识符,并验证其有效性。

定期更新会话标识:要求用户定期更新他们的会话标识,例如,通过要求用户登录来获取一个新的会话标识。

注销机制:提供及时的注销或退出登录功能,让用户可以主动终止会话。

5) Cross-Site Scripting

检查输入值,不允许HTML/Javascript/CSS文本输入。

对要输出到网页的所有内容执行过滤、转义。

在HTML中输出URL时,只允许以某些模式开头的URL,如“http://”和“https://”。

不允许动态创建包含<script></script>标记的内容。

不允许从任意网站导入样式表。

6) CSRF

当通过POST方法访问要执行某些操作的网页时,生成一个秘钥,将其插入表单的隐藏标签中,只有当秘钥正确时才执行请求的操作。

在执行请求前要求输入密码、或图形验证码、或手机验证码,只有在密码、或图形验证码、或手机验证码正确的情况下才能完成操作。

检查referrer是否为预期的URL,只有当URL正确时才能继续。

7) HTTP标头注入

不要直接打印HTTP头。

检查请求头是否合法,对请求头进行验证和清理,并且避免将用户输入包含在响应标头中。

删除请求头中出现的所有换行符。

8) 邮件头注入

标头使用固定值,并将所有外部输入输出到电子邮件正文。

如果固定值不能用于标头,请使用web应用程序的执行环境或语言提供的电子邮件发送API。

不要在HTML中指定电子邮件地址。

删除外部文本输入中出现的所有换行符。

9) 点击劫持

确保你的服务器在HTTP响应头部中正确设置了X-Frame-Options: DENY或SAMEORIGIN。

使用Content Security Policy(CSP)并设置frame-ancestors指令。

使用X-XSS-Protection,并确保它被设置为0。

10)缓冲区溢出

对于外部输入的数据进行验证和清理,确保它们的大小不会超过预期的缓冲区大小。

使用 StringBuilder 或 StringBuffer 的 append 方法来拼接字符串,并提前设置一个合理的容量大小,避免不断扩展内存。

11)缺少访问控制和授权控制

我们基于Shiro实现身份验证、访问控制、授权控制。

12)服务器安全对策

经常检查操作系统和软件漏洞信息,并采取相应的必要措施。

建议使用加密身份验证访问服务器,例如公钥,而不是使用密码进行远程服务器访问。

如使用密码身份验证时,请确保使用足够复杂的字符串。

禁用未使用的服务和接口,并删除不必要的帐户。

不要将不打算公开的文件放在web服务器的公共目录下。