| | 1 | http://trac.pc.com.cn/tracteam/attachment/wiki/Spec/%5BK004%5D%E4%BB%A3%E7%A0%81%E5%BC%80%E5%8F%91%E8%A7%84%E8%8C%83%20v1.0.doc [[BR]] |
| | 2 | |
| | 3 | |
| | 4 | 规范内容从即日起执行。[[BR]] |
| | 5 | |
| | 6 | |
| | 7 | 新增规范内容如下:[[BR]] |
| | 8 | |
| | 9 | |
| | 10 | |
| | 11 | {{{ |
| | 12 | 第二章 编码安全 |
| | 13 | |
| | 14 | |
| | 15 | 7. 其他安全相关 |
| | 16 | XSS相关 |
| | 17 | 01. HTML标签的属性值必须使用引号。 |
| | 18 | 02. 提供应用调用的数据接口格式使用JSON或XML。 |
| | 19 | 03. 由接口提供方提供接口的文档说明,进行接口数据风险提示,由使用方为安全负责。 |
| | 20 | 04. JSON接口页面返回的Content-Type必须为application/json。 |
| | 21 | 05. 页面插入可疑flash时allowScriptAccess必须设置为no。 |
| | 22 | |
| | 23 | CSRF相关 |
| | 24 | 01. 应用中涉及增、删、改请求必须采用post等方式,不允许使用get方式。 |
| | 25 | 02. 重要请求需增加referer和token验证。 |
| | 26 | |
| | 27 | 拒绝服务相关 |
| | 28 | 01. 应用参数中使用count、pageSize等参数应设置最大值限制。 |
| | 29 | |
| | 30 | 命令执行相关 |
| | 31 | 01. 避免接口调用Runtime.getRuntime().exec()或ProcessBuilder等方法执行系统脚本或命令。如需使用,必须使用权限控制。 |
| | 32 | |
| | 33 | |
| | 34 | 其他安全配置相关 |
| | 35 | 01. 网站部署时crossdomain.xml文件中allow-access-from不允许设置为<allow-access-from domain="*"/>,需根据具体需要设置。(给出具体示例如下) |
| | 36 | |
| | 37 | }}} |
| | 38 | |
| | 39 | |
| | 40 | {{{ |
| | 41 | <cross-domain-policy> |
| | 42 | <allow-access-from domain="*.pconline.com.cn"/> |
| | 43 | <allow-access-from domain="*.pclady.com.cn"/> |
| | 44 | <allow-access-from domain="*.pckids.com.cn"/> |
| | 45 | <allow-access-from domain="*.pcbaby.com.cn"/> |
| | 46 | <allow-access-from domain="*.pcauto.com.cn"/> |
| | 47 | <allow-access-from domain="*.pcgames.com.cn"/> |
| | 48 | <allow-access-from domain="*.pchouse.com.cn"/> |
| | 49 | <allow-access-from domain="*.3conline.com"/> |
| | 50 | <allow-access-from domain="*.pcvideo.com.cn"/> |
| | 51 | <allow-access-from domain="*.pc.com.cn"/> |
| | 52 | </cross-domain-policy> |
| | 53 | |
| | 54 | }}} |
![(please configure the [header_logo] section in trac.ini)](http://www1.pconline.com.cn/hr/2009/global/images/logo.gif){kind=logo}
