http://trac.pc.com.cn/tracteam/attachment/wiki/Spec/%5BK004%5D%E4%BB%A3%E7%A0%81%E5%BC%80%E5%8F%91%E8%A7%84%E8%8C%83%20v1.0.doc [[BR]]

 
     规范内容从即日起执行。[[BR]]


      新增规范内容如下：[[BR]]



{{{
第二章 编码安全


7. 其他安全相关
XSS相关
01. HTML标签的属性值必须使用引号。
02. 提供应用调用的数据接口格式使用JSON或XML。
03. 由接口提供方提供接口的文档说明，进行接口数据风险提示，由使用方为安全负责。
04. JSON接口页面返回的Content-Type必须为application/json。
05. 页面插入可疑flash时allowScriptAccess必须设置为no。
 
CSRF相关
01. 应用中涉及增、删、改请求必须采用post等方式，不允许使用get方式。
02. 重要请求需增加referer和token验证。
 
拒绝服务相关
01. 应用参数中使用count、pageSize等参数应设置最大值限制。
 
命令执行相关
01. 避免接口调用Runtime.getRuntime().exec()或ProcessBuilder等方法执行系统脚本或命令。如需使用，必须使用权限控制。
 
 
其他安全配置相关
01. 网站部署时crossdomain.xml文件中allow-access-from不允许设置为<allow-access-from domain="*"/>，需根据具体需要设置。（给出具体示例如下)

}}}
 

{{{
<cross-domain-policy>
<allow-access-from domain="*.pconline.com.cn"/>
<allow-access-from domain="*.pclady.com.cn"/>
<allow-access-from domain="*.pckids.com.cn"/>
<allow-access-from domain="*.pcbaby.com.cn"/>
<allow-access-from domain="*.pcauto.com.cn"/>
<allow-access-from domain="*.pcgames.com.cn"/>
<allow-access-from domain="*.pchouse.com.cn"/>
<allow-access-from domain="*.3conline.com"/>
<allow-access-from domain="*.pcvideo.com.cn"/>
<allow-access-from domain="*.pc.com.cn"/>
</cross-domain-policy>

}}}