WEB应用系统安规范文档.docxVIP

WEB应用系统安全规范 目 录 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc335854975 WEB应用系统安全规范 PAGEREF _Toc335854975 \h 1 HYPERLINK \l _Toc335854976 1 概述 PAGEREF _Toc335854976 \h 4 HYPERLINK \l _Toc335854977 1.1 目的 PAGEREF _Toc335854977 \h 4 HYPERLINK \l _Toc335854978 1.2 适用范围 PAGEREF _Toc335854978 \h 4 HYPERLINK \l _Toc335854979 2 范围 PAGEREF _Toc335854979 \h 4 HYPERLINK \l _Toc335854980 3 名词解释 PAGEREF _Toc335854980 \h 4 HYPERLINK \l _Toc335854981 4 Web开发安全规范 PAGEREF _Toc335854981 \h 5 HYPERLINK \l _Toc335854982 4.1 Web应用程序体系结构和安全 PAGEREF _Toc335854982 \h 5 HYPERLINK \l _Toc335854983 4.2 Web安全编码规范 PAGEREF _Toc335854983 \h 7 HYPERLINK \l _Toc335854984 4.2.1 区分公共区域和受限区域 PAGEREF _Toc335854984 \h 7 HYPERLINK \l _Toc335854985 4.2.2 对身份验证 cookie 的内容进行加密 PAGEREF _Toc335854985 \h 7 HYPERLINK \l _Toc335854986 4.2.3 限制会话寿命 PAGEREF _Toc335854986 \h 7 HYPERLINK \l _Toc335854987 4.2.4 使用 SSL 保护会话身份验证 Cookie PAGEREF _Toc335854987 \h 7 HYPERLINK \l _Toc335854988 4.2.5 确保用户没有绕过检查 PAGEREF _Toc335854988 \h 7 HYPERLINK \l _Toc335854989 4.2.6 验证从客户端发送的所有数据 PAGEREF _Toc335854989 \h 8 HYPERLINK \l _Toc335854990 4.2.7 不要向客户端泄漏信息 PAGEREF _Toc335854990 \h 8 HYPERLINK \l _Toc335854991 4.2.8 记录详细的错误信息 PAGEREF _Toc335854991 \h 8 HYPERLINK \l _Toc335854992 4.2.9 捕捉异常 PAGEREF _Toc335854992 \h 8 HYPERLINK \l _Toc335854993 4.2.10 不要信任 HTTP 头信息 PAGEREF _Toc335854993 \h 8 HYPERLINK \l _Toc335854994 4.2.11 不要使用 HTTP-GET 协议传递敏感数据 PAGEREF _Toc335854994 \h 8 HYPERLINK \l _Toc335854995 4.2.12 不要在永久性 cookie 中存储敏感数据 PAGEREF _Toc335854995 \h 8 HYPERLINK \l _Toc335854996 4.2.13 对数据进行加密或确保通信通道的安全 PAGEREF _Toc335854996 \h 9 HYPERLINK \l _Toc335854997 4.2.14 SQL 语句的参数应以变量形式传入 PAGEREF _Toc335854997 \h 9 HYPERLINK \l _Toc335854998 4.2.15 页面中的非源代码内容应经过 URI 编码 PAGEREF _Toc335854998 \h 9 HYPERLINK \l _Toc335854999 4.2.16 页面中拼装的脚本应校验元素来源的合法性 PAGEREF _Toc335854999 \h 9 HYPERLINK \l _Toc335855000 4.2.17 页面请求处理应校验参数的最大长度 PAGEREF _Toc335855000 \h 9 HYPERLINK \l _Toc335855001 4.2.18 登录失败信