javaWEB安全開發基本原則
最小化設計
用戶輸入最小化,儘可能少地使用用戶的輸入
用戶輸入範圍最小化,過濾參數時儘量使用白名單策略
用戶權限最小化,只對用戶進行所需的最少授權
輸出數據字段最小化,限制數據輸出並且不輸出業務無關的數據
所有(客戶端)輸入都不可信
通信協議中從客戶端傳來的一切數據
從數據庫/文件/網絡等,一些不直接來源於用戶,但又不是程序中定義好的常量數據
安全編碼不依賴任何安全配置
編寫程序時不能有僥倖心理,不能依賴於配置文件的安全選項
禁止輸出程序錯誤或調試信息
程序的錯誤和異常進行統一的日誌記錄,禁止輸出到用戶界面
禁止任何程序後門
應用系統不應保留任何非正常渠道需求的功能點.例如,出於程序調試目的的後門代碼等