![(please configure the [header_logo] section in trac.ini)](http://www1.pconline.com.cn/hr/2009/global/images/logo.gif){kind=logo}
规范内容从即日起执行。
新增规范内容如下:
第二章 编码安全 7. 其他安全相关 XSS相关 01. HTML标签的属性值必须使用引号。 02. 提供应用调用的数据接口格式使用JSON或XML。 03. 由接口提供方提供接口的文档说明,进行接口数据风险提示,由使用方为安全负责。 04. JSON接口页面返回的Content-Type必须为application/json。 05. 页面插入可疑flash时allowScriptAccess必须设置为no。 CSRF相关 01. 应用中涉及增、删、改请求必须采用post等方式,不允许使用get方式。 02. 重要请求需增加referer和token验证。 拒绝服务相关 01. 应用参数中使用count、pageSize等参数应设置最大值限制。 命令执行相关 01. 避免接口调用Runtime.getRuntime().exec()或ProcessBuilder等方法执行系统脚本或命令。如需使用,必须使用权限控制。 其他安全配置相关 01. 网站部署时crossdomain.xml文件中allow-access-from不允许设置为<allow-access-from domain="*"/>,需根据具体需要设置。(给出具体示例如下)
<cross-domain-policy> <allow-access-from domain="*.pconline.com.cn"/> <allow-access-from domain="*.pclady.com.cn"/> <allow-access-from domain="*.pckids.com.cn"/> <allow-access-from domain="*.pcbaby.com.cn"/> <allow-access-from domain="*.pcauto.com.cn"/> <allow-access-from domain="*.pcgames.com.cn"/> <allow-access-from domain="*.pchouse.com.cn"/> <allow-access-from domain="*.3conline.com"/> <allow-access-from domain="*.pcvideo.com.cn"/> <allow-access-from domain="*.pc.com.cn"/> </cross-domain-policy>
