确认用户的身份、身份验证和会话管理对于防止与身份验证相关的攻击至关重要
- 多因素校验
- 弱密码检测
- 限制登录尝试,但不要拒绝
- 会话 ID 及时失效
用户访问了超出其权限的资源而服务没有对其进行校验
- 对用户的访问权限进行严格控制
- 前后端都要对用户身份和输入数据进行严格的校验
用户敏感信息被暴露
- 敏感数据禁止明文存储和传输
- 必须使用可靠的加密算法
用户输入数据没有被正确转义,导致后台查询数据库的 SQL 语句返回意外数据
- 后端使用可靠的 ORM 库
指攻击者通过各种手段向用户访问的第三方服务 Web 页面注入脚本(如搜索链接或评论内容等),从而以用户的身份在第三方服务执行某些操作(如窃取信息等),通常分为持久型(如通过网站评论嵌入<script>)和非持久型(如通过精心编辑的 url)
- 前端使用可靠框架自动转义 HTML 标签字符
- 后端配置HTTP 安全响应首部