如何提高 Web 代码的安全性?
程序员文章站
2024-01-27 20:16:16
...
刚毕业进入一家互联网公司 ,看以前的代码存在很多安全隐患,比如看js代码,可以通过ajax发送一些请求,来完成一些操作。 现在有什么方法可以提高我代码的安全性,有没有什么书或者工具可以推荐? 多谢!
高级PHP应用程序漏洞审核技术 [https://code.google.com/p/pasc2at/wiki/SimplifiedChinese]
Php Codz Hacking [http://www.80vul.com/pch/]
Some Of Discuz! Bugs [http://www.80vul.com/dzvul/]
80Vul [http://www.80vul.com/]
WST BBS [http://www.phpsec.net/]
WooYun Zone [http://zone.wooyun.org/zone/php] 已有的答案都偏向于系统后端安全,我来提供一个前端开发的思路:
1、所有涉及数据更改的操作(增删改)都应该使用 POST 方法
2、所有用户输入的内容都应该进行转义(esacpe)
3、在 HTML 文档的 head 部分首先指明 charset (见 http://code.google.com/p/doctype/wiki/ArticleUtf7)
4、设置正确的 document.domain
5、如果依赖 cookies 验证登录状态,要确保当前域下的 cookies 没有被污染(见 Yummy cookies across domains 路 GitHub)
6、尽量不要使用 JavaScript 动态插入文本控件(尤其是还用 onxxx 绑定事件的,可以借鉴 AngularJS 的思想)
想到再补充 WooYun知识库 你了解web的安全知识越多,你的代码也就越安全了,如果你写代码的时候会想起那些知识的话。。。 每一个变量都是秘应该关注的。每一次输入都是有害的。 XSS, SQL注入检查, CSRF, 其它参见: 白帽子讲Web安全 (豆瓣)
回复内容:
推荐几个:高级PHP应用程序漏洞审核技术 [https://code.google.com/p/pasc2at/wiki/SimplifiedChinese]
Php Codz Hacking [http://www.80vul.com/pch/]
Some Of Discuz! Bugs [http://www.80vul.com/dzvul/]
80Vul [http://www.80vul.com/]
WST BBS [http://www.phpsec.net/]
WooYun Zone [http://zone.wooyun.org/zone/php] 已有的答案都偏向于系统后端安全,我来提供一个前端开发的思路:
1、所有涉及数据更改的操作(增删改)都应该使用 POST 方法
2、所有用户输入的内容都应该进行转义(esacpe)
3、在 HTML 文档的 head 部分首先指明 charset (见 http://code.google.com/p/doctype/wiki/ArticleUtf7)
4、设置正确的 document.domain
5、如果依赖 cookies 验证登录状态,要确保当前域下的 cookies 没有被污染(见 Yummy cookies across domains 路 GitHub)
6、尽量不要使用 JavaScript 动态插入文本控件(尤其是还用 onxxx 绑定事件的,可以借鉴 AngularJS 的思想)
想到再补充 WooYun知识库 你了解web的安全知识越多,你的代码也就越安全了,如果你写代码的时候会想起那些知识的话。。。 每一个变量都是秘应该关注的。每一次输入都是有害的。 XSS, SQL注入检查, CSRF, 其它参见: 白帽子讲Web安全 (豆瓣)
推荐阅读
-
如何提高 Web 代码的安全性?
-
如何使PHP文件与HTML代码更好的分离?
-
C++环境安装及 如何用 Sublime Text 实现C/C++代码的编译运行
-
App与Web内如何实现实时拉取其他直播平台的视频流并播放?
-
如何使用PHP开发高效的WEB系统_PHP教程
-
在Python中如何传递任意数量的实参的示例代码
-
如何通过优雅的代码逻辑方式,使得通过get method访问的地址在传递的参数不正确的时候避免出现额外的错误?
-
css3实现的动态月食效果代码实例_html/css_WEB-ITnose
-
css3实现的动态月食效果代码实例_html/css_WEB-ITnose
-
处理上百万条的数据库如何提高处理查询速度(转)