记录一下web应用的环境安全设计的问题,涉及操作系统、web容器、框架、组件、协议......
1,页面表单提交时后台token验证
2,HTTPS:服务端单向验证、双向验证(可使用自签名证书)
3,防刷新重登录,登录鉴权后加入重定向
4,登录使用强密码
5,提交表单使用验证码
6,HTTPOnly Cookies,防止JS脚本读取cookie
7,隐藏服务器信息(协议Server头)
8,登录后改变Session ID
9,提交表单时加密特定字段(无论POST还是GET)
10,禁止多点登录(同一ID同一时刻只能一个Session存在)
11,避免WEBAPP框架/组件漏洞(框架、组件更新至无漏洞版)
12,TLS/SSL版本限制,以及加密算法套件限制
13,HSTS
14,禁止特定HTTP请求方法,比如PUT/TRACE/HEAD/OPTIONS/DELETE
15,来源地址检查拦截(refer check)
16,隐藏WEB容器错误、调试信息页面,自定义错误页面
17,关闭WEB容器(Tomcat)特定用户,设定权限
18,关闭Tomcat显示网站目录
19,关闭非必需端口
20,加固特定端口访问密码
21,开启防火墙规则
22,数据库禁止远程访问
23,IP安全策略
……待续
相关推荐
本资源摘要信息是关于消防安全技术实务笔记的要点总结,涵盖了燃烧基础知识、火灾基础知识和爆炸基础知识三个方面的内容。 燃烧基础知识 燃烧是指可燃物质在氧化剂作用下发生的化学反应,释放出热量和光。为了理解...
### Core Java 重点要点笔记解析 #### 一、Java编程语言的发展历史与主要特性 - **起源**: Java 最初源自 Sun 公司的一个名为 Green 的项目,该项目旨在为家用消费电子产品开发一个分布式代码系统。最初考虑使用 ...
* 具有高度的自身安全性 * 确保网络之间是隔离的 * 保证网间交换的只是应用数据 * 对网间的访问进行严格的控制和检查 * 在坚持隔离的前提下保证网络畅通和应用透明 网络安全监控功能: * 全面的网络控制 * 细粒度...
传统的信息管理方式在时效性、安全性以及可操作性等方面存在诸多不足,而互联网技术的应用为这些问题提供了全新的解决方案。基于此背景下,“笔记记录分享网站”项目的开发旨在通过整合先进的信息技术手段,构建一个...
总结来说,构建一个云笔记网站涉及了前端与后端开发、数据库管理、用户认证、数据同步、安全性、用户体验设计、API集成、性能优化以及部署运维等多个方面。这些知识涵盖了软件开发的全生命周期,对毕业生来说是一个...
4. 通信和网络安全:涉及到网络协议、加密技术和网络安全架构,以及如何保障数据在传输过程中的安全性。 5. 身份和访问管理:讲述身份验证、授权和审计机制,以及如何实现安全的身份生命周期管理。 6. 安全评估和...
根据提供的文件信息,本文档详细解析了HP笔记本DC电源电路的技术要点,尤其是DC-DC电源电路中的电源策略控制部分。本文将详细探讨笔记本电脑的电源管理系统,特别是直流电源转换过程和电路设计中的策略控制。 首先...
3. **安全性**:使用HTTPS协议,保护用户数据,也会影响搜索排名。 四、外部链接策略 1. **高质量外链**:来自权威网站的链接能提升你的网站信誉,但需避免低质量的“链接农场”。 2. **品牌提及**:即使没有链接...
1.Spring Boot 入门 ...提供了一些大型项目中常见的非功能性特性,如嵌入式服务器、安全、指标,健康检测、外部配置等。 Spring Boot并不是对Spring功能上的增强,而是提供了一种快速使用Spring的方式。
在安全性方面,nyfedit提供了数据加密功能,确保用户的个人信息和笔记内容得到保护。同时,自动保存和版本回溯功能防止了因意外情况导致的数据丢失,用户可以安心地记录和编辑。 对于协作需求,nyfedit也有所考虑。...
4. 兼容性:确认防盗锁是否适合你的笔记本电脑,大部分产品应该适用于带有Kensington安全槽的设备。 5. 品牌和口碑:购买知名品牌的防盗锁,以保证质量和售后服务。 正确使用笔记本防盗锁: 1. 将锁头插入笔记本的...
【安全工程师安全生产技术...总的来说,这第五讲强调了木工机械操作的安全性,涵盖了机械设计、操作规范、安全装置、防火防电以及工作场所安全等多个方面,旨在提升安全工程师在实际工作中识别和处理安全问题的能力。
一、笔记的重要性 1. 记忆强化:笔记有助于加深对信息的理解,通过手写或键入过程,我们的大脑会更深入地处理信息。 2. 整理思绪:笔记可以将杂乱的信息结构化,帮助我们梳理思路,形成清晰的观点和理解。 3. 回顾与...
由于提供的文件内容中除了标题、描述、标签外,唯一可见的部分内容是一句重复的宣传语,并且其中还包含不相关的重复信息和微信购买广告,这部分内容对于生成知识点没有实质性帮助。因此,我会根据标题和描述中提供的...
Java是由Sun Microsystems公司(现已被Oracle收购)开发的,其主要特点是跨平台、安全性高、面向对象以及自动内存管理。JDK(Java Development Kit)是Java开发的核心组件,包含了编译器、JRE(Java Runtime ...
AURIX™多核编程精华应用笔记围绕着如何在基于AURIX™的多核项目中开展编程工作,提供了详细的指导和...同时,该笔记对于理解多核系统的工作原理、任务分配、同步机制以及安全性要求等方面也提供了宝贵的知识和见解。
同时,理解系统性能、安全性和可用性的权衡也是设计中必须考虑的问题。 三、软件工程与项目管理 作为系统架构师,需要具备一定的项目管理能力,包括需求分析、风险评估、进度控制等。此外,了解敏捷开发方法,如...
- 在BIOS中可以设置如UUID等选项,这些设置对于确保笔记本电脑的唯一性和安全性非常重要。 - 某些情况下,可能需要通过BIOS来禁用某些功能或调整设置以适应特定的需求。 2. **测试笔记本电脑的显示效果**: - ...
《安全规程笔记》是关于电气工作安全的重要文档,主要涵盖了电气设备分类、操作流程、...以上内容是《安全规程笔记》中的核心要点,对于从事电气工作的人员来说,熟悉并严格遵守这些规程是保障自身和他人安全的基础。
操作系统的定义强调了其三大要点:管理系统资源、方便用户使用以及作为系统软件的角色。操作系统的主要特征包括并发性(多个任务同时进行)、共享性(资源可以被多个进程共享)和不确定性(由于并发导致的结果难以...