【必须】基本要求

  1. 使用蓝鲸提供的应用开发框架,已集成基本的 web 安全防范策略(XSS、CSRF、统一登录等)

  2. Debug 信息禁止对外暴露(测试、正式环境禁止开启 debug 模式,建议规范错误日志,查看日志定位问题)

  3. 访问限制( IP 或 QQ 白名单)(统一使用蓝鲸开发者中心提供的权限管理功能)

  4. 越权操作防范和自检(用户、业务、操作权限等关联鉴权)(参考越权案例)

  5. 权限回收(应用统一回收通知模块,定时通知业务测负责人对外部人员权限进行梳理确认,应用开发框架集成)

  6. 内部应用对外提供API 并做好鉴权,统一由蓝鲸 ESB 封装,必须报备

  7. webshell 必须报备

  8. Flash XSS 漏洞(例如:zeroclipboard 插件,请将插件升级至最新版本)

Copyright © 腾讯蓝鲸 2012-2018 all right reserved,powered by Gitbook最后修订日期: 2018-07-16

results matching ""

    No results matching ""