安全編碼規範(DOC 22頁)
- 所屬分類:
- 安全製度
- 文件大小:
- 51 KB
- 下載地址:
- 相關資料:
- 編碼規範
安全編碼規範(DOC 22頁)內容簡介
1.......目的.......5
2.......背景.......5
3.......安全編碼規範.......5
3.1.......輸入驗證和數據合法性校驗.......5
3.1.1.......避免SQL注入.......5
3.1.2.......避免XML注入.......5
3.1.3.......避免跨站點腳本(XSS).......6
3.2.......聲明和初始化.......6
3.2.1.......避免類初始化的相互依賴.......6
3.3.......表達式.......7
3.3.1.......不可忽略方法的返回值.......7
3.3.2.......不要引用空指針.......8
3.3.3.......使用Arrays.equals()來比較數組的內容.......8
3.4.......數字類型和操作.......8
3.4.1.......防止整數溢出.......8
3.4.2.......避免除法和取模運算分母為零.......9
3.5.......類和方法操作.......10
3.5.1.......數據成員聲明為私有,提供可訪問的包裝方法.......10
3.5.2.......敏感類不允許複製.......10
3.5.3.......比較類的正確做法.......10
3.5.4.......不要硬編碼敏感信息.......11
3.5.5.......驗證方法參數.......11
3.5.6.......不要使用過時、陳舊或低效的方法.......11
3.5.7.......數組引用問題.......11
3.5.8.......不要產生內存泄露.......12
3.6.......異常處理.......12
3.6.1.......不要忽略捕獲的異常.......12
3.6.2.......不允許暴露異常的敏感信息.......13
3.6.3.......不允許拋出RuntimeException,Exception,Throwable.......14
3.6.4.......不要捕獲NullPointerException或其他父類異常.......14
3.7.......多線程編程.......15
3.7.1.......確保共享變量的可見性.......15
3.7.2.......確保共享變量的操作是原子的.......16
3.7.3.......不要調用Thread.run(),不要使用Thread.stop()以終止線程.......18
3.7.4.......確保執行阻塞操作的線程可以終止.......18
3.7.5.......相互依存的任務不要在一個有限的線程池執行.......19
3.8.......輸入輸出.......19
3.8.1.......程序終止前刪除臨時文件.......19
3.8.2.......檢測和處理文件相關的錯誤.......19
3.8.3.......及時釋放資源.......19
3.9.......序列化.......20
3.9.1.......不要序列化未加密的敏感數據.......20
3.9.2.......在序列化過程中避免內存和資源泄漏.......21
3.9.3.......反序列化要在程序最小權限的安全環境中.......22
..............................
2.......背景.......5
3.......安全編碼規範.......5
3.1.......輸入驗證和數據合法性校驗.......5
3.1.1.......避免SQL注入.......5
3.1.2.......避免XML注入.......5
3.1.3.......避免跨站點腳本(XSS).......6
3.2.......聲明和初始化.......6
3.2.1.......避免類初始化的相互依賴.......6
3.3.......表達式.......7
3.3.1.......不可忽略方法的返回值.......7
3.3.2.......不要引用空指針.......8
3.3.3.......使用Arrays.equals()來比較數組的內容.......8
3.4.......數字類型和操作.......8
3.4.1.......防止整數溢出.......8
3.4.2.......避免除法和取模運算分母為零.......9
3.5.......類和方法操作.......10
3.5.1.......數據成員聲明為私有,提供可訪問的包裝方法.......10
3.5.2.......敏感類不允許複製.......10
3.5.3.......比較類的正確做法.......10
3.5.4.......不要硬編碼敏感信息.......11
3.5.5.......驗證方法參數.......11
3.5.6.......不要使用過時、陳舊或低效的方法.......11
3.5.7.......數組引用問題.......11
3.5.8.......不要產生內存泄露.......12
3.6.......異常處理.......12
3.6.1.......不要忽略捕獲的異常.......12
3.6.2.......不允許暴露異常的敏感信息.......13
3.6.3.......不允許拋出RuntimeException,Exception,Throwable.......14
3.6.4.......不要捕獲NullPointerException或其他父類異常.......14
3.7.......多線程編程.......15
3.7.1.......確保共享變量的可見性.......15
3.7.2.......確保共享變量的操作是原子的.......16
3.7.3.......不要調用Thread.run(),不要使用Thread.stop()以終止線程.......18
3.7.4.......確保執行阻塞操作的線程可以終止.......18
3.7.5.......相互依存的任務不要在一個有限的線程池執行.......19
3.8.......輸入輸出.......19
3.8.1.......程序終止前刪除臨時文件.......19
3.8.2.......檢測和處理文件相關的錯誤.......19
3.8.3.......及時釋放資源.......19
3.9.......序列化.......20
3.9.1.......不要序列化未加密的敏感數據.......20
3.9.2.......在序列化過程中避免內存和資源泄漏.......21
3.9.3.......反序列化要在程序最小權限的安全環境中.......22
..............................
下一篇:尚無數據