开发规范
后端开发规范
代码规范
安全规范
常见 XSS 漏洞及解决方案
常用 XSS 测试 payload
常见越权漏洞及解决方案
常用越权测试方法
常见 CSRF 漏洞及解决方案
常见高危操作及对策
数据库设计和使用规范
MySQL 设计和使用规范
Redis 设计和使用规范
Django最佳实践
Python最佳实践
前端开发规范
HTML规范
CSS规范
JS规范
Vuejs 规范
PerformanceOpti
MobileSpec
安全检查
webpack
其他
测试规范
测试覆盖范围
测试隔离
-
+
首页
安全规范
## 基本要求 1. 集成基本的 web 安全防范策略(XSS、CSRF、统一登录等) 2. **Debug 信息**禁止对外暴露(测试、正式环境禁止开启 debug 模式,建议规范错误日志,查看日志定位问题) 3. 访问限制(IP 或 QQ 白名单) 4. 越权操作防范和自检(**用户、业务、操作**权限等**关联**鉴权)(参考越权案例) 5. 权限回收(**应用统一回收通知模块**,定时通知业务测负责人对外部人员权限进行梳理确认,应用开发框架集成) 6. 内部应用**对外提供 API** 并做好鉴权,统一由**蓝鲸 APIGateway**封装,必须报备 7. **webshell** 必须报备 8. Flash XSS 漏洞(例如:zeroclipboard 插件,请将插件升级至最新版本) 9. 敏感信息存储与访问做到5点 - 9.1. 服务器登录密码不允许存储在任何地方 - 9.2. 非机器登录密码,需要加密存储 - 9.3. 严禁明文存储 QQ、手机号、账户和密码信息,请使用 AES 等加密算法加密存储 - 9.4. 前端页面上不允许显示任何敏感信息,如密码、重要外网配置等。手机号显示前三位后两位,身份证显示前一位后一位,银行卡显示前六位后四位。 - 9.5. 对于访问敏感信息 DB,必须做好来源 IP 限制 10. 安全校验豁免的接口不能上线到正式环境 针对不同的环境,进行不同的 Django 配置时,配置应该注意相互隔离、不能共用。 > 例如:为了方便前端调试,在 SaaS 中配置了`corsheaders`。此时应该,仅在开发时间段允许本地和测试环境进行跨域调用,而不能上线到正式环境,同时在完成迭代之后,应该立即关闭跨域配置,避免误上线操作,导致安全风险。
吴晓俊
2024年7月15日 16:50
转发文档
收藏文档
上一篇
下一篇
手机扫码
复制链接
手机扫一扫转发分享
复制链接
Markdown文件
分享
链接
类型
密码
更新密码