1
WEB应用系统安全规范
目录
TOC\o"1-3"\h\z\uHYPERLINK\l"_Toc335854975"WEB应用系统安全规范	PAGEREF_Toc335854975\h1
HYPERLINK\l"_Toc335854976"1	概述	PAGEREF_Toc335854976\h4
HYPERLINK\l"_Toc335854977"1.1	目的	PAGEREF_Toc335854977\h4
HYPERLINK\l"_Toc335854978"1.2	适用范围	PAGEREF_Toc335854978\h4
HYPERLINK\l"_Toc335854979"2	范围	PAGEREF_Toc335854979\h4
HYPERLINK\l"_Toc335854980"3	名词解释	PAGEREF_Toc335854980\h4
HYPERLINK\l"_Toc335854981"4	Web开发安全规范	PAGEREF_Toc335854981\h5
HYPERLINK\l"_Toc335854982"4.1	Web应用程序体系结构和安全	PAGEREF_Toc335854982\h5
HYPERLINK\l"_Toc335854983"4.2	Web安全编码规范	PAGEREF_Toc335854983\h7
HYPERLINK\l"_Toc335854984"4.2.1	区分公共区域和受限区域	PAGEREF_Toc335854984\h7
HYPERLINK\l"_Toc335854985"4.2.2	对身份验证cookie的内容进行加密	PAGEREF_Toc335854985\h7
HYPERLINK\l"_Toc335854986"4.2.3	限制会话寿命	PAGEREF_Toc335854986\h7
HYPERLINK\l"_Toc335854987"4.2.4	使用SSL保护会话身份验证Cookie	PAGEREF_Toc335854987\h7
HYPERLINK\l"_Toc335854988"4.2.5	确保用户没有绕过检查	PAGEREF_Toc335854988\h7
HYPERLINK\l"_Toc335854989"4.2.6	验证从客户端发送的所有数据	PAGEREF_Toc335854989\h8
HYPERLINK\l"_Toc335854990"4.2.7	不要向客户端泄漏信息	PAGEREF_Toc335854990\h8
HYPERLINK\l"_Toc335854991"4.2.8	记录详细的错误信息	PAGEREF_Toc335854991\h8
HYPERLINK\l"_Toc335854992"4.2.9	捕捉异常	PAGEREF_Toc335854992\h8
HYPERLINK\l"_Toc335854993"4.2.10	不要信任HTTP头信息	PAGEREF_Toc335854993\h8
HYPERLINK\l"_Toc335854994"4.2.11	不要使用HTTP-GET协议传递敏感数据	PAGEREF_Toc335854994\h8
HYPERLINK\l"_Toc335854995"4.2.12	不要在永久性cookie中存储敏感数据	PAGEREF_Toc335854995\h8
HYPERLINK\l"_Toc335854996"4.2.13	对数据进行加密或确保通信通道的安全	PAGEREF_Toc335854996\h9
HYPERLINK\l"_Toc335854997"4.2.14	SQL语句的参数应以变量形式传入	PAGEREF_Toc335854997\h9
HYPERLINK\l"_Toc335854998"4.2.15	页面中的非源代码内容应经过URI编码	PAGEREF_Toc335854998\h9
HYPERLINK\l"_Toc335854999"4.2.16	页面中拼装的脚本应校验元素来源的合法性	PAGEREF_Toc335854999\h9
HYPERLINK\l"_Toc335855000"4.2.17	页面请求处理应校验参数的最大长度	PAGEREF_Toc335855000\h9
HYPERLINK\l"_Toc335855001"4.2.18	登录失败信息错误提示应一致	PAGER