1.所有字段的輸入必須在服務端檢驗
2.字段聯動必須在服務端檢驗(如:一個頁面的前一個字段取值爲1,後一個字段只能取值234,這時候需要測試後一個字段非234如5,檢查服務端是否能夠檢驗出錯誤)
3.頁面聯動必須在服務端檢驗(如:後一個頁面是以前一個頁面的處理結果爲條件的,這時需要修改前一個測試界面的返回結果,檢驗服務端能否檢驗出錯誤)
4.增刪改對個人數據的查詢,導入,上傳,導出,下載等操作有日誌記錄
5.用作查詢條件的字段有防sql注入的機制(參數的值如果爲數字則使用value or 1=1參數的值如果爲字符型,則使用value
' or ‘1’ = ‘1’)
6.涉及口令,密鑰,銀行卡,信用卡失效日期,原始通信內容的頁面採用https➕post方式傳輸
7.禁止在cookie中以明文形式存口令,密鑰,銀行卡,信用卡,信用卡失效期,原始通信內容
8.敏感數據包括會話標識符等,表單數據使用http➕post方式提交
9.在web系統中,如果提交的數據包含高影響個人數據,則禁止使用get方法提交
10.會話ID安全