HTTP请求/响应期间的重要验证

Question

在http请求/响应期间可以执行哪些重要的验证/处理，以保护Web应用程序免受跨站点脚本跨站点请求伪造和任何其他安全攻击等漏洞的影响？

Answer 1

关于这个主题的书籍数量很多，基本上归结为垃圾进入，垃​​圾出局。需要考虑的事项：

1. 验证恶意标记的所有输入
2. 在进入像SQL服务器这样的处理系统之前转义字符串
3. 不允许任何用于服务器或客户端代码注入的向量eval()过度使用
4. 将会话绑定到IP地址以捕获会话劫持
5. 如果需要，请使用SSL并确保用户了解风险
6. 限制密码尝试，不要间接泄露信息，即“我们有您的用户名，但密码不正确”
7. 使用签名的cookie
8. 仅包含来自可信和可验证第三方的来源
9. 使用“我是人”验证，例如Captcha
10. 请注意蜘蛛爬过您的网站

列表一直在继续，对于每种新技术，您都会有更多需要考虑的事项。最重要的是，有一种安全态度，它看起来就像攻击者那样。你会如何破解自己的网站？如果你不能回答这个问题，你需要能够或读一些书籍的人的帮助。