微信小程序 城市服務接入安全檢測
微信小程序城市服務接入安全檢測
當企業(yè)接入微信的城市服務時,必須確保功能的安全性。以下是常見的安全檢查表:
1. XSS
- 進行輸入校驗:限制長度、確保值類型正確并且不包含特殊字符(如<>’”等)
- 進行輸出編碼:根據(jù)輸出位置選擇適當?shù)木幋a方式,例如HTML編碼、JavaScript編碼、URL編碼等。
- 解決輸出到HTML標簽之間時的數(shù)據(jù)處理問題,對這些數(shù)據(jù)進行HTML Entity編碼。
- 在輸出到HTML屬性里時,對特殊字符進行編碼為&#xHH
- 在輸出到SCRIPT里時,對這些數(shù)據(jù)進行SCRIPT編碼,只有阿拉伯數(shù)字和字母不被編碼,并且對其他所有字符進行編碼,通過ASCII碼值小于256來判斷是否需要編碼,編碼后輸出格式為\xHH
- 在輸出到Style屬性里時,對這些數(shù)據(jù)進行CSS編碼,除了阿拉伯數(shù)字和字母外,對其他所有字符進行編碼,通過ASCII碼值小于256來判斷是否需要編碼,編碼后輸出格式為\HH
- 在輸出到HTML URL時,對這些數(shù)據(jù)進行URL編碼,插入不可信數(shù)據(jù)到HTML頁面的URL中時需進行URL編碼
2. SQL注入
- 最佳方式是使用預編譯語句,綁定變量
- 檢查數(shù)據(jù)類型
- 使用安全函數(shù),例如php的mysql_real_escape_string
- 從數(shù)據(jù)庫自身出發(fā),使用最小權限原則,不要使用dba權限
3. 上傳漏洞
- 在客戶端和服務器端均對用戶上傳的文件名和文件路徑等進行嚴格的校驗,并且一定要在服務端進行檢測
- 服務器端最好使用白名單過濾的方法,例如只允許jpg文件上傳等操作
- 應盡量避免將上傳目標路徑放在web目錄下,如果必須存放在web目錄下,則需要去掉該目錄的可執(zhí)行權限
- 慎用Fckeditor、ewebeditor等第三方上傳組件,歷史上曾出現(xiàn)過多個漏洞
4. Struts2
Struts2框架曾出現(xiàn)許多高危漏洞,這些漏洞足以威脅一個網(wǎng)站的安全,因此應盡量使用最新版本。
5. 信息泄露
- 線上機器應刪掉測試頁面,例如test.html、phpinfo.php等文件
- 禁用詳細的錯誤提示
- 禁止顯示調(diào)試信息
- 禁止將svn相關文件更新到線上機器,例如.svn/entries
6. 登錄安全
- 登錄頁面最好加入驗證碼功能
- 盡量使用https協(xié)議
7. 會話安全
公眾號開發(fā)中,通常會使用openid作為用戶身份標識,使用openid時需要將其設置到cookie中,不要直接拼接到URL中,例如http://www.qq.com/getuser?code=aaaaaa。
8.
<本文由himall原創(chuàng),商業(yè)轉(zhuǎn)載請聯(lián)系作者獲得授權,非商業(yè)轉(zhuǎn)載請標明:himall原創(chuàng)>
滿足不同行業(yè)發(fā)展電商的需求,HiMall更有針對性的提供不同行業(yè)內(nèi)的電商解決方案
-
跨境電商解決方案
支持直郵/保稅模式
對接海關/保稅倉
支持多國國際語言
對接Paypal國際支付
幫助跨境外貿(mào)企業(yè)搭建跨境進口/出口電商平臺,搶占國際電商市場,針對企業(yè)需求定制個性化跨境電商解決方案 -
分賬解決方案
迎合金融監(jiān)管要求
規(guī)避“二清”結(jié)算
節(jié)約平臺財務成本
降低平臺招商成本
在合法、合規(guī)的前提下,為電商平臺提供資金收付、賬戶管理、資金合規(guī)等一體化整體解決方案 -
B2B批發(fā)解決方案
多級階梯批發(fā)價
布局全渠道批發(fā)入口
專屬批發(fā)訂貨市場
銀聯(lián)B2B大額支付
為企業(yè)快速搭建綜合性B2B批發(fā)電商平臺,整合線下批發(fā)資源,拓展線上批發(fā)渠道,實現(xiàn)批發(fā)業(yè)務24小時在線經(jīng)營
-
MRO工業(yè)品采購平臺系統(tǒng)|MRO工業(yè)品采購平臺系統(tǒng)有哪些功能
最新消息:MRO工業(yè)品采購平臺系統(tǒng) 是一款集產(chǎn)、研、銷于一體的綜合性解決方案,專為解決工業(yè)品企業(yè)的采購難題而設計。該系統(tǒng)通過...詳情
-
電子元器件采購商城系統(tǒng)|電子元器件采購商城系統(tǒng)有哪些功能
最新消息:電子元器件采購商城系統(tǒng) 是專為滿足電子元器件行業(yè)復雜業(yè)務流程需求而設計的綜合性平臺。它不僅提供了全面的技術支持...詳情
【本站聲明】
1、本網(wǎng)站發(fā)布的該篇文章,目的在于分享電商知識及傳遞、交流相關電商信息,以便您學習或了解電商知識,請您不要用于其他用途;
2、該篇文章中所涉及的商標、標識的商品/服務并非來源于本網(wǎng)站,更非本網(wǎng)站提供,與本網(wǎng)站無關,系他人的商品或服務,本網(wǎng)站對于該類商標、標識不擁有任何權利;
3、本網(wǎng)站不對該篇文章中所涉及的商標、標識的商品/服務作任何明示或暗示的保證或擔保;
4、本網(wǎng)站不對文章中所涉及的內(nèi)容真實性、準確性、可靠性負責,僅系客觀性描述,如您需要了解該類商品/服務詳細的資訊,請您直接與該類商品/服務的提供者聯(lián)系。