历史上Struts2框架出过多个高危漏洞,这些漏洞足以黑掉一个网站,要尽量使用最新版本
信息泄漏
- 线上机器删掉测试页面,例如test.html,phpinfo.php等
- 禁掉详细的错误提示
- 禁止显示调试信息
- 禁止将svn相关的文件更新到线上机器,例如.svn/entries
登录安全
- 登录页面最好加入验证码
- 尽量使用https协议
会话安全
公众号开发中通常将openid作为用户身份标识,使用openid时要将openid设置到cookie中不要拼接到URL中例如http://www.qq.com/getuser?code=aaaaaa
管理页面
Tomcat、jboss、weblogic等管理页面可以做以下加个方面的安全策略
使用白名单的方式限制可以登录的IP
如果不使用这些管理界面直接删掉
平行权限问题
像订单等场景需要格外注意平行权限问题,例如order?Id=111,是否order?Id=112就可以看到其他的订单。对于这种情况的防御,可以加入校验参数,order?Id=111&sign=hash(字符串常量+id)
支付金额问题
- 涉及到微支付的web应用一定要严格按照微信支付官方网站的文档设计
- 确定用户的支付金额与应付金额是否相等
标签:微信小程序
相关阅读 >>
微信小程序云开发服务端数据库api 获取数据库查询及更新指令
更多相关阅读请进入《微信小程序》频道 >>
Vue.js 设计与实现 基于Vue.js 3 深入解析Vue.js 设计细节
本书对 Vue.js 3 技术细节的分析非常可靠,对于需要深入理解 Vue.js 3 的用户会有很大的帮助。——尤雨溪,Vue.js作者
