网站开发常规安全规范（持续更新）

针对网站开发中常见的安全问题，整理一些常见开发规范。（持续更新）

１） SQL注入

必须使用占位符生成所有SQL语句。

通过串联构建SQL语句时，请使用数据库引擎提供的特殊API来执行转义，并正确地组成SQL语句中的文字。

不要直接将传递给web应用程序的参数写入SQL语句（必须过滤传入参数，并且使用占位符组成SQL语句）。

限制显示在web浏览器上的错误消息，避免出现具体SQL错误等提示。

向数据库帐户授予最低权限。

２） OS命令注入

避免开放、使用可能调用shell命令的函数或接口。

当使用可以调用shell命令的函数时，请检查组成shell参数的所有变量，并确保只执行那些被授权执行的变量。

３） 未检查路径名参数/目录信任

不要直接使用外部参数指定存储在web服务器上的文件的名称。

使用固定目录来处理文件名，并去除文件名中的目录名。

正确管理文件访问权限。

检查文件名。

４） 会话管理不完备

使用HTTPS：确保应用使用HTTPS来加密所有的请求和响应数据，从而防止会话信息在网络中明文传输，减少中间人攻击的风险。

安全的Cookie设置：设置HttpOnly标志，防止通过JavaScript访问Cookie，增加Cookie的安全性。设置Secure标志，确保只有通过HTTPS传输时才能使用Cookie。

登录会话标识（Session ID）：在每次请求时强制用户提供一个唯一的会话标识符，并验证其有效性。

定期更新会话标识：要求用户定期更新他们的会话标识，例如，通过要求用户登录来获取一个新的会话标识。

注销机制：提供及时的注销或退出登录功能，让用户可以主动终止会话。

５） Cross-Site Scripting

检查输入值，不允许HTML/Javascript/CSS文本输入。

对要输出到网页的所有内容执行过滤、转义。

在HTML中输出URL时，只允许以某些模式开头的URL，如“http://”和“https://”。

不允许动态创建包含＜script></script>标记的内容。

不允许从任意网站导入样式表。

６） CSRF

当通过POST方法访问要执行某些操作的网页时，生成一个秘钥，将其插入表单的隐藏标签中，只有当秘钥正确时才执行请求的操作。

在执行请求前要求输入密码、或图形验证码、或手机验证码，只有在密码、或图形验证码、或手机验证码正确的情况下才能完成操作。

检查referrer是否为预期的URL，只有当URL正确时才能继续。

７） HTTP标头注入

不要直接打印HTTP头。

检查请求头是否合法，对请求头进行验证和清理，并且避免将用户输入包含在响应标头中。

删除请求头中出现的所有换行符。

８） 邮件头注入

标头使用固定值，并将所有外部输入输出到电子邮件正文。

如果固定值不能用于标头，请使用web应用程序的执行环境或语言提供的电子邮件发送API。

不要在HTML中指定电子邮件地址。

删除外部文本输入中出现的所有换行符。

９） 点击劫持

确保你的服务器在HTTP响应头部中正确设置了X-Frame-Options: DENY或SAMEORIGIN。

使用Content Security Policy（CSP）并设置frame-ancestors指令。

使用X-XSS-Protection，并确保它被设置为0。

１０）缓冲区溢出

对于外部输入的数据进行验证和清理，确保它们的大小不会超过预期的缓冲区大小。

使用 StringBuilder 或 StringBuffer 的 append 方法来拼接字符串，并提前设置一个合理的容量大小，避免不断扩展内存。

１１）缺少访问控制和授权控制

我们基于Shiro实现身份验证、访问控制、授权控制。

１2）服务器安全对策

经常检查操作系统和软件漏洞信息，并采取相应的必要措施。

建议使用加密身份验证访问服务器，例如公钥，而不是使用密码进行远程服务器访问。

如使用密码身份验证时，请确保使用足够复杂的字符串。

禁用未使用的服务和接口，并删除不必要的帐户。

不要将不打算公开的文件放在web服务器的公共目录下。