-
隸屬於用戶個人的頁面或者功能必須進行權限控制校驗。
-
用戶敏感數據禁止直接展示,必須對展示數據進行脫敏。中國大陸個人手機號碼顯示爲:137****0969,隱藏中間 4 位,防止隱私泄露
-
用戶輸入的 SQL 參數嚴格使用參數綁定或者 METADATA 字段值限定,防止 SQL 注入,禁止字符串拼接 SQL 訪問數據庫。
-
用戶請求傳入的任何參數必須做有效性驗證。
忽略參數校驗可能導致:
⚫ page size 過大導致內存溢出
⚫ 惡意 order by 導致數據庫慢查詢
⚫ 任意重定向
⚫ SQL 注入
⚫ 反序列化注入
⚫ 正則輸入源串拒絕服務 ReDoS -
禁止向 HTML 頁面輸出未經安全過濾或未正確轉義的用戶數據。
-
表單、AJAX 提交必須執行 CSRF 安全驗證。
-
在使用平臺資源,譬如短信、郵件、電話、下單、支付,必須實現正確的防重放的機制,如數量限制、疲勞度控制、驗證碼校驗,避免被濫刷而導致資損。
-
發貼、評論、發送即時消息等用戶生成內容的場景必須實現防刷、文本內容違禁詞過濾等風控策略
阿里java開發手冊學習筆記(四、 安全規約)
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.