@邪恶贝壳
2年前 提问
1个回答
web安全数据保护原则有哪些
在下炳尚
2年前
web安全数据保护原则有以下这些:
授予最低权限,以限制用户只能访问为完成任务所需要的功能、数据和系统信息。
保护所有存放在服务器上缓存的或临时拷贝的敏感数据,以避免非授权的访问,并在临时工作文件不再需要时尽快清除。
即使在服务器端,仍然要加密存储的高度机密信息,比如,身份验证的验证数据。总是使用已经被很好验证过的算法,保护服务器端的源代码不被用户下载。
不要在客户端上以明文形式或其他非加密安全模式保存密码、连接字符串或其他敏感信息。
删除用户可访问产品中的注释,以防止泄露后台系统或者其他敏感信息。删除不需要的应用程序和系统文档,因为这些也可能向攻击者泄露有用的信息,不要在HTTP GET请求参数中包含敏感信息。
禁止表单中的自动填充功能,因为表单中可能包含敏感信息,包括身份验证信息。禁止客户端缓存网页,因为可能包含敏感信息。“Cache-Control:no-store”可以和HTTP报头控制“Pragma:no-cache”一起使用,该控制不是非常有效,但是与HTTP/1.0向后兼容。
应用程序应当支持,当数据不再需要的时候,删除敏感信息(比如,个人信息或者特定财务数据)。
为存储在服务器中的敏感信息提供恰当的访问控制,包括缓存的数据、临时文件以及只允许特定系统用户访问的数据。