严格验证前端表单数据的提交,防止XSS跨站脚本攻击(Cross-Site Scripting)
email验证
手机号码
input长度限制
password 最好指定安全有效的格式,提高密码的验证要求
特殊字段传输加密,本地存储的数据一律需要加密
hidden inputs 也不例外
防止多次重复请求
日期/地址,最好标准化统一化,禁止用户自己输入,这样确保数据有效性
请求错误超过一定的次数,需要填写验证码排除是否是机器人操作
(比如登录和忘记密码)
登录时间限制,设置token失效时间,在规定的时间内用户没有操作,用户必须强制登录
文件上传:严格限制用户上传的文件后缀以及文件类型,防止上传恶意文件
HttpOnly Cookie:true。预防XSS攻击窃取用户cookie最有效的防御手段。Web应用程序在设置cookie时,将其属性设为HttpOnly(如果 Cookie 具有 HttpOnly 特性且不能通过客户端脚本访问,则为 true;否则为 false。默认值为 false。),