開發(fā)安全代碼編寫規(guī)范制度

1、世界工廠網(wǎng)對內(nèi)文檔頁眉頁腳設(shè)置及水印設(shè)置 安全代碼編寫規(guī)范一、編寫目的為加強(qiáng)我司在軟件開發(fā)中的安全規(guī)范要求，減少應(yīng)用上線后帶來潛在的安全風(fēng)險(xiǎn)，特?cái)M定安全代 碼編寫規(guī)范。二、使用范圍本規(guī)范適用于百度有限公司的開發(fā)類軟件項(xiàng)目。三、應(yīng)用安全設(shè)計(jì)在總體架構(gòu)設(shè)計(jì)階段，需明確與客戶方溝通確認(rèn)甲方對于軟件安全的相關(guān)要求，對于有明確安全 要求的（例如授權(quán)管理要求、用戶認(rèn)證要求、日志審計(jì)要求等），須在設(shè)計(jì)文檔中予以詳細(xì)說明。對 于互聯(lián)網(wǎng)應(yīng)用，務(wù)必明確網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全相關(guān)的安全防護(hù)手段。在技術(shù)架構(gòu)上，應(yīng)采用表現(xiàn)層、服務(wù)層、持久層分類的架構(gòu)，實(shí)現(xiàn)對底層業(yè)務(wù)邏輯進(jìn)行有效隔離， 避免將底層實(shí)現(xiàn)細(xì)節(jié)暴露給最終

2、用戶。在部署架構(gòu)上，應(yīng)采用應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器的分離部署模式，在應(yīng)用服務(wù)器被攻擊時(shí)，不 會(huì)導(dǎo)致核心應(yīng)用數(shù)據(jù)的丟失。如軟件產(chǎn)品具備有條件時(shí)，應(yīng)優(yōu)先采用加密數(shù)據(jù)傳輸方式（例如https 協(xié)議）。在外部接口設(shè)計(jì)方面，應(yīng)采用最小接口暴露的原則，避免開發(fā)不必要的服務(wù)方法帶來相關(guān)安全隱 患，同時(shí)對于第三方接口，應(yīng)共同商定第三方接入的身份認(rèn)證方式和手段。四、應(yīng)用安全編碼4.1. 輸入驗(yàn)證對于用戶輸入項(xiàng)進(jìn)行數(shù)據(jù)驗(yàn)證，除常見的數(shù)據(jù)格式、數(shù)據(jù)長度外，還需要對特殊的危險(xiǎn)字符進(jìn)行 處理。特殊字符包括 % ( ) & + 等。對于核心業(yè)務(wù)功能，除在客戶端或?yàn)g覽器進(jìn)行數(shù)據(jù)驗(yàn)證外，還必須在服務(wù)器端對數(shù)據(jù)進(jìn)行合法性 檢驗(yàn)

3、，規(guī)避用戶跳過客戶端校驗(yàn)，直接將不合規(guī)的數(shù)據(jù)保存到應(yīng)用中。對于瀏覽器重定向地址的數(shù)據(jù)，需要進(jìn)行驗(yàn)證核實(shí)，確認(rèn)重定向地址是否在可信，并且需要對換 行符（r 或n）進(jìn)行移除或者替換。頁腳內(nèi)容 1世界工廠網(wǎng)對內(nèi)文檔頁眉頁腳設(shè)置及水印設(shè)置4.2. 數(shù)據(jù)輸出對需要輸出到用戶瀏覽器的任何由用戶創(chuàng)造的內(nèi)容，應(yīng)在輸出到瀏覽器之前或持久化存儲之前進(jìn) 行轉(zhuǎn)義(至少對轉(zhuǎn)義為< >)以防止跨站攻擊腳本(xss)。對于無法規(guī)避的 html 片段提交，需 對、標(biāo)簽進(jìn)行檢查處理，避免應(yīng)用被掛馬的可能性。在程序中應(yīng)盡量規(guī)避 sql 的拼接處理，優(yōu)先推薦使用 ibatis/mybaits 框架，其次推薦使用 sql

4、 的參數(shù)化查詢方法，在無法避免使用 sql 拼接時(shí)，因?qū)?sql 參數(shù)值進(jìn)行編碼處理（至少對單引號進(jìn) 行編碼）。4.3. 會(huì)話管理不要在 url、錯(cuò)誤信息或日志中暴露會(huì)話標(biāo)識符。會(huì)話標(biāo)識符應(yīng)當(dāng)只出現(xiàn)在 http cookie 頭信息 中。比如，不要將會(huì)話標(biāo)識符以 get 參數(shù)進(jìn)行傳遞。將 cookie 設(shè)置為 httponly 屬性，除非在應(yīng)用程序中明確要求了客戶端腳本程序讀取或者設(shè)置 cookie 的值。從 cookie 或者 session 中獲取之前保存的數(shù)據(jù)進(jìn)行應(yīng)用時(shí)，須增加必要的數(shù)據(jù)檢驗(yàn)。對于敏感的業(yè)務(wù)操作，通過在每個(gè)請求或每個(gè)會(huì)話中使用強(qiáng)隨機(jī)令牌或參數(shù)，為高度敏感或關(guān)鍵 的操作提供

5、標(biāo)準(zhǔn)的會(huì)話管理。4.4. 訪問控制應(yīng)用必須具備授權(quán)訪問控制功能，能夠限制在最小的范圍內(nèi)使用系統(tǒng)功能。同時(shí)限制只有授權(quán)的 用戶可以訪問受保護(hù)的 url。4.5. 文件管理在文件上傳處理中，應(yīng)限制符合要求格式的文件，盡量避免用戶直接上傳可執(zhí)行文件或在服務(wù)器 端限制可執(zhí)行文件的執(zhí)行權(quán)限。在文件下載時(shí)，應(yīng)規(guī)避直接列舉服務(wù)器上的文件，同時(shí)規(guī)避將服務(wù)器端的路徑作為參數(shù)進(jìn)行傳遞， 避免用戶非法獲取服務(wù)器端文件。4.6. 數(shù)據(jù)加密原則上在程序代碼中不能直接寫入用戶和密碼，對于無法規(guī)避的情況，應(yīng)當(dāng)對使用的用戶名、密 碼進(jìn)行加解密處理，在程序中使用加密后的內(nèi)容。4.7. 錯(cuò)誤處理不要在錯(cuò)誤響應(yīng)將服務(wù)器的信息暴露給最終用戶，例如：服務(wù)器的 ip 地址、操作系統(tǒng)的類型和 版本、會(huì)話標(biāo)識符、賬號信息等，從而避免增加服務(wù)端被黑客攻擊的可能性。在錯(cuò)誤處理時(shí)，因在后臺統(tǒng)一進(jìn)行日志記錄，避免顯示調(diào)試或堆棧跟蹤信息，建議使用通用的錯(cuò) 誤消息并使用定制的錯(cuò)誤頁面。頁腳內(nèi)容 2世界工廠網(wǎng)對內(nèi)文檔頁眉頁腳設(shè)置及水印設(shè)置4.8. 其它通用規(guī)范審核應(yīng)用使用的第三方開發(fā)框架、第三方代碼或類庫文件，以確定業(yè)務(wù)的需要，并驗(yàn)證功能的安 全性