java安全编码规范.pdfVIP

NSFOcus

Java编码规范

■文档编号密级内部使用

■版本编号1.1

日期2015-03-15

NSFOCUS

◎2020迪普科技

■版权声明

本文中出现的任何文字叙述、文档格式、插图、照片、方法、程等内容，除另有特别注明，版权均属所

有，受到有关产权及版权法保护。任何个人、机构未经的书面授权许可，不得以任何方式复制或引用本文

的任何片断。

■版本变更记录

时间版本说明修改人

____________________________原创力文档

・适用性声明预览与源文档一致下载高清无水印

kll8.com

目录

一.说明4

1.1安全编码目的4

1.2适用范围5

二.安全编码原则6

三.前端安全编码规范8

3.1防范跨站脚本攻击(XSS)漏洞8

3.1.1风险概述8

3.1.2安全防范编码8

3.2防范跨站请求伪造(CSRF)漏洞13

3.2.1风险概述13

3.2.2安全防范编码13

3.3防范前端敏感信息泄露漏洞16

3.3.1风险概述16

3.3.2安全防范编码16

四.JAVA安全编码规范18

4.1防范注入攻击漏洞18

4.1.1风险概述18

4.1.2安全防范编码18

4.2防范文件路径遍历漏洞20

4.2.1风险概述20

4.2.2安全防范编码20

4.3防范非法文件上传漏洞22

4.3.1风险概述22

4.3.2安全防范编码22

4.4防范非授权对象直接引用漏洞24

4.4.1风险概述24

4.4.2安全防范编码25

4.5防范URL访问控制不严格漏洞26

4.5.1风险概述26

4.5.2安全防范编码26

4.6防范不安全的重定向和任意页面跳转漏洞29

4.6.1风险概述29

4.6.2安全防范编码29

4.7防范服务端敏感信息泄露漏洞30

4.7.1风险概述30

4.7.2安全防范编码30

五.参考信息32

1.2适用范围

为了帮助设计人员和开发人员在开发阶段就去创建安全的JavaWeb系统，我们编写了这

套安全编码规范。原创力文档

本规范针对常见的JavaWeb应用软件漏洞进行了详细分析，给出规避安金漏洞的安全防118.com

范编码的建议和要求，从根源上去消除Java