DKBA华为技术有限公司内部技术规范DKBA1606-XXXX.XWeb应用安全开发规范V1.52013年XX月XX日发布2013年XX月XX日实施华为技术有限公司HuaweiTechnologiesCo.,Ltd.版权所有侵权必究Allrightsreserved编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：修订声明Revisiondeclaration本规范拟制与解释部门：网络安全能力中心&电信软件与核心网网络安全工程部本规范的相关系列规范或文件：《C&C++语言安全编程规范》《Java语言安全编程规范》相关国际规范或文件一致性：无替代或作废的其它规范或文件：无相关规范或文件的相互关系：《产品网络安全红线》和《电信软件与核心网业务部安全能力基线》中的Web安全要求引用了本规范的内容，如果存在冲突，以本规范为准。规范号主要起草部门专家主要评审部门专家修订情况DKBA1606-2007.4安全解决方案：赵武42873，杨光磊57125，万振华55108软件公司设计管理部：刘茂征11000，刘高峰63564，何伟祥33428安全解决方案：刘海军12014，吴宇翔18167，吴海翔57182接入网：彭东红27279无线：胡涛46634核心网：吴桂彬41508，甘嘉栋33229，马进32897，谢秀洪33194，张毅27651，张永锋40582业软：包宜强56737，丁小龙63583，董鹏越60793，傅鉴杏36918，傅用成30333，龚连阳18753，胡海60017320，胡海华52463，李诚37517，李大锋54630，李战杰21615，刘创文65632，刘飞46266，刘剑51690，栾阳62227，罗仁钧65560，罗湘武06277，马亮60009259，孟咏喜22499，潘海涛27360，孙林46580，王福40317，王锦亮36430，王美玲60011866，王谟磊65558，王玉龙24387，杨娟60019875，张锋43381，张健60005645，张轶57143，邹韬51591V1.0何伟祥33428刘高峰63564，龚连阳00129383，许汝波62966，吴宇翔00120395，王欢00104062，吕晓雨56987V1.2增加了WebService、Ajax和上传和下载相关的安全规范。何伟祥00162822V1.3增加了防止会话固定和防止跨站请求伪造的安全规范。何伟祥00162822V1.4增加了“规则3.4.1”的实施指导；删除了“建议3.4.1”；修改了“6配套CBB介绍”的内容和获取方式。增加了“3.9DWR”何伟祥00162822吴淑荣00197720魏建雄00222906谢和坤00197709李田00042091孙波00175839朱双红00051429王伟00207440陈伟00141500V1.5增加“规则3.3.9、规则3.6.5、规则4.7.1、建议4.7.2、4.8PHP”增加“3.8RESTfulWebService”修改“规则3.2.2.8、规则3.2.2.3、规则3.4.1、规则4.6.1”删除“3.2.1口令策略”和“规则3.1.3、规则3.2.3.8、规则4.7.1”附件文档作为对象直接插入主文档目录TableofContents1概述71.1背景简介71.2技术框架81.3使用对象91.4适用范围91.5用词约定92常见Web安全漏洞103Web设计安全规范113.1Web部署要求113.2身份验证123.2.1口令123.2.2认证123.2.3验证码153.3会话管理163.4权限管理173.5敏感数据保护183.5.1敏感数据定义183.5.2敏感数据存储183.5.3敏感数据传输203.6安全审计213.7WebService223.8RESTfulWebService233.9DWR244Web编程安全规范254.1输入校验254.2输出编码304.3上传下载304.4异常处理314.5代码注释314.6归档要求324.7其他334.8PHP345Web安全配置规范366配套CBB介绍376.1WAFCBB376.2验证码CBB387附件387.1附件1Tomcat配置SSL指导387.2附件2WebService安全接入开发指导387.3附件3客户端IP鉴权实施指导387.4附件4口令安全要求387.5附件5Web权限管理设计规格说明书39Web应用安全开发规范V1.5概述背景简介在Internet大众化及Web技术飞速演变的今天，Web安全所面临的挑战日益严峻。黑客攻击技术越来越成熟和大众化，针对Web的攻击和破坏不断增长，Web安全风险达到了前所未有的高度。许多程序员不知道如何开发安全的应用程序，开发出来的