1. 確保您的Web服務器不發送顯示有關後端技術類型或版本信息的響應頭。
2. 確保服務器打開的端口上運行的所有服務都不會顯示有關其構建和版本的信息。
3. 確保所有目錄的訪問權限正確,保證不會讓攻擊者訪問到你的所有文件。
4. 不要在代碼中將賬戶密碼硬編碼進去。也不要在註釋中寫入相關信息。
5. 在web服務器中爲所有類型的應用程序配置MIME信息
6. 不需要上傳到網站上的敏感信息永遠都不要上傳
7. 始終檢查每個創建/編輯/查看/刪除資源的請求是否具有適當的訪問控制,防止越權訪問,並確保所有機密信息保密。
8. 確保您的Web應用程序正確處理用戶輸入,並且始終爲所有不存在/不允許的資源返回通用響應,以便混淆攻擊者。
9. 後端代碼應該考慮到所有情況,並且當異常發生時,能夠保證信息不被泄漏。
10. 配置Web服務器以禁止目錄遍歷,並確保Web應用程序始終顯示默認網頁。