学习手册：窥探Web前端黑客技术(4)

维护人员关注：

• 永远不要相信客户端传来的任何信息，对这些信息都应先进行编码或过滤处理;
• 谨慎返回用户输入的信息;
• 使用黑名单和白名单处理(即“不允许哪些敏感信息”或“只允许哪些信息”，白名单的效果更好但局限性高);
• 检查、验证请求来源，对每一个重要的操作都进行重新验证;
• 使用SSL防止第三方监听通信(但无法阻止XSS、CSRF、SQL注入攻击);
• 不要将重要文件、备份文件存放在公众可访问到的地方;
• 会话ID无序化;
• 对用户上传的文件进行验证(不单单是格式验证，比方一张gif图片还应将其转为二进制并验证其每帧颜色值<无符号8位>和宽高值<无符号16位>);
• WSDL文档应当要求用户注册后才能获取;
• 在报头定义CSP(Content Security Policy)。

【本文是51CTO专栏作者“绿盟科技博客”的原创稿件，转载请通过51CTO联系原作者获取授权】

戳这里，看该作者更多好文

【编辑推荐】

1. 安全意识专题 | 无线网络安全管理建议
2. 2019年网络安全的9个预测
3. 五步应用NIST网络安全框架
4. 2018年网络安全大事记
5. CEO们需要了解的未来网络安全

（编辑：ASP站长网）