差别
这里会显示出您选择的修订版和当前版本之间的差别。
| 两侧同时换到之前的修订记录 前一修订版 后一修订版 | 前一修订版 | ||
| public:it:web_developer_security_checklist [2019/03/21 21:43] – [API接口] oakfire | public:it:web_developer_security_checklist [2020/11/05 20:01] (当前版本) – [网络传输] oakfire | ||
|---|---|---|---|
| 行 13: | 行 13: | ||
| * 开发环境与部署环境的安全要求应该等同,确保在安全隔离的开发环境下开发软件。 | * 开发环境与部署环境的安全要求应该等同,确保在安全隔离的开发环境下开发软件。 | ||
| ==== 身份认证 ==== | ==== 身份认证 ==== | ||
| - | * 确保所有密码经过合适算法哈希,比如[[https:// | + | * 确保所有密码经过合适算法哈希,比如[[wp>Bcrypt|Bcrypt]]。不要记录哈希所用数,哈希所用数要随机生成。 |
| * 登录、遗忘密码、重置密码等业务逻辑要使用已被证明的最佳实践方案。不要自己造个新的——想要在所有场景下都能不出问题是很难的。 | * 登录、遗忘密码、重置密码等业务逻辑要使用已被证明的最佳实践方案。不要自己造个新的——想要在所有场景下都能不出问题是很难的。 | ||
| * 实现简单但足够的规则来促使用户使用足够长足够随机的密码。 | * 实现简单但足够的规则来促使用户使用足够长足够随机的密码。 | ||
| - | * :?: Use multi-factor authentication for your logins to all your service providers. | + | * 在所有服务上都使用 MFA ([[wp> |
| ==== 对付拒绝服务攻击 ==== | ==== 对付拒绝服务攻击 ==== | ||
| * 确保对API的DDOS攻击不会波及整个站点。最低限度为你的高耗API或者认证相关API必须有访问频次限制。可考虑在前端加验证码来帮助后端应对DDOS攻击。 | * 确保对API的DDOS攻击不会波及整个站点。最低限度为你的高耗API或者认证相关API必须有访问频次限制。可考虑在前端加验证码来帮助后端应对DDOS攻击。 | ||
| 行 22: | 行 22: | ||
| * 可考虑使用全局缓冲代理服务(比如 [[https:// | * 可考虑使用全局缓冲代理服务(比如 [[https:// | ||
| ==== 网络传输 ==== | ==== 网络传输 ==== | ||
| - | * 全站都使用 TLS, 不用只在登录页面使用。 传统上,使用 | + | * 全站都使用 TLS, 不要只在登录页面使用。 传统上,使用 |
| * Cookies 必须 '' | * Cookies 必须 '' | ||
| * 使用内容安全策略(CSP)禁止所有 unsafe-* backdoors. 配置起来虽然很麻烦但很值得做。 对 CDN 内容实用 CSP Subresource Integrity. | * 使用内容安全策略(CSP)禁止所有 unsafe-* backdoors. 配置起来虽然很麻烦但很值得做。 对 CDN 内容实用 CSP Subresource Integrity. | ||
oakfire