以下:
1、隶属于用户个人的页面或者功能必须进行权限控制校验,防止没有做水平权限校验就可以虽拜年访问、修改、删除别人的数据。
2、用户敏感信息禁止直接展示,必须对展示数据进行脱敏,如手机号158****9119。
3、用户请求传入的任何参数都必须进行有效性验证,如:内存溢出,order by,任意重定向,sql注入,反序列化注入。
4、禁止向html输出未经过安全过滤或未安全转义的内容。
5、表单、ajax提交必须执行CSRF安全过滤。
6、在使用平台资源,如断行,邮件等,必须实现正确的防重限制。