Web開発セキュリティにおけるJavaの概要

怪我咯
リリース: 2017-06-25 10:22:06
オリジナル
2538 人が閲覧しました

1. お客様が入力したオリジナルデータの検証はスクリプトに依存しません。 JavaScriptなどクライアント側で入力データを検証する方が便利ですが、セキュリティ上の理由から使用できません。スクリプトは安全ではないため、ユーザーがスクリプトをブロックする可能性があります。ユーザー データをサーバーに送信し、サーバー上の文字列の正当性を検証できます。 2. HTML の入力識別子 & lt; '' & gt; '、

3. データに埋め込まれている ' '" ' を削除します。 ' ' → 'is>' 'isμ' '&39;' は 1 つおきに置き換えられます。 (2) (3) クロスサイト スクリプティング (CSS) が原因で発生するため、解決策はスクリプト シンボルの表示を避けることです。

URLで許可されるテキスト

英数字「;」「/」「?」「:」「@」「&」「=」「+」「$」「,」「-」「_」「. "!""~""*""'"("")""%"

4. 保護する必要があるすべての Web ページにはユーザー認証局が必要です。

ログイン後、SESSION にユーザー ID を保存し、検証のために保護する必要がある各ページにスクリプトを追加します。セッションが空の場合、検証は失敗し、再度ログインする必要があります。

<%
If Len(Session("ID")) = 0 Then
Response.Redirect "index.html"
End If
%>
ログイン後にコピー

以下の情報は特別に処理されます:

*パスワード

*Webメールのメール内容等の個人データ

*氏名、年齢、住所等の個人情報

*Webアプリケーションシステム内のデータ構造

* Webサーバー内の最大チケット数などの各種システム情報

→[1-3.]

5. 事前に推測できるセッションIDは定義できません→[1-3.]

6キーは重要です

パラメータを渡すには post を使用するときに、データ パラメータを URL に含めないでください。そしてその対策:

*SSLによる暗号化通信

*干渉戦略。

*会話中のハイジャック対策

7. 隠しフィールドのデータは変更、転送できません(隠しフィールドの値は表示できませんが、転送され、HTMLソースファイルで値を確認できます)値が変更され転送されないようにするため) データの取得に hidden を使用しないでください。改善方法は、セッションを使用して隠しデータを保存することです。 →[1-5.]

8. の