輸入和輸出
1 .檢查是否做了html代碼的過濾,可能出現(xiàn)的問題:如果有人輸入惡意的html代碼权埠,會(huì)導(dǎo)致竊取cookie,產(chǎn)生惡意登錄表單殖卑,破壞網(wǎng)站。
2 .檢查輸入數(shù)值的合法性倒源,異常的數(shù)值可能會(huì)造成問題苛预。如果對(duì)輸入的數(shù)值不做檢查會(huì)造成不合法的或者錯(cuò)誤的數(shù)據(jù)存入U(xiǎn)DB,存入其他的數(shù)據(jù)庫或者導(dǎo)致意料之外的程序操作發(fā)生笋熬。
3.核實(shí)cookie的使用以及對(duì)用戶數(shù)據(jù)的處理可能出現(xiàn)的問題热某,不正確的cookie使用可能造成數(shù)據(jù)泄露。
4 .在數(shù)據(jù)庫階段要對(duì)get,post傳入的參數(shù)進(jìn)行嚴(yán)格的過濾和合法性驗(yàn)證突诬,不推薦直接使用數(shù)據(jù)苫拍。
用戶記錄
1 .確保對(duì)用戶關(guān)鍵的操作保存了完整的訪問記錄。
2 .
引號(hào)
1 .最外層使用雙引號(hào)
2 .url的內(nèi)容要用引號(hào)
3 .屬性選擇器中的屬性值需要引號(hào)
省略嵌入資源協(xié)議頭
1 .省略圖片旺隙,媒體文件绒极,樣式表和腳本等url協(xié)議頭部聲明(http,https)
2 .省略協(xié)議聲明,使url成相對(duì)地址蔬捷,防止內(nèi)容混淆和導(dǎo)致小文件重復(fù)下載(主要是指http和https交雜的場景中)
<script src="http://www.google.com/js/gweb/analytics/autotrack.js"></script>
.example { background: url(//www.google.com/images/example)};
按模塊添加注釋
1 .在每個(gè)模塊開始和結(jié)束的地方添加注釋垄提。
2 .新聞列表模塊,排行榜模塊
