安全编码规范(DOC 22页)
- 所属分类:
- 安全制度
- 文件大小:
- 51 KB
- 下载地址:
- 相关资料:
- 编码规范
安全编码规范(DOC 22页)内容简介
1.......目的.......5
2.......背景.......5
3.......安全编码规范.......5
3.1.......输入验证和数据合法性校验.......5
3.1.1.......避免SQL注入.......5
3.1.2.......避免XML注入.......5
3.1.3.......避免跨站点脚本(XSS).......6
3.2.......声明和初始化.......6
3.2.1.......避免类初始化的相互依赖.......6
3.3.......表达式.......7
3.3.1.......不可忽略方法的返回值.......7
3.3.2.......不要引用空指针.......8
3.3.3.......使用Arrays.equals()来比较数组的内容.......8
3.4.......数字类型和操作.......8
3.4.1.......防止整数溢出.......8
3.4.2.......避免除法和取模运算分母为零.......9
3.5.......类和方法操作.......10
3.5.1.......数据成员声明为私有,提供可访问的包装方法.......10
3.5.2.......敏感类不允许复制.......10
3.5.3.......比较类的正确做法.......10
3.5.4.......不要硬编码敏感信息.......11
3.5.5.......验证方法参数.......11
3.5.6.......不要使用过时、陈旧或低效的方法.......11
3.5.7.......数组引用问题.......11
3.5.8.......不要产生内存泄露.......12
3.6.......异常处理.......12
3.6.1.......不要忽略捕获的异常.......12
3.6.2.......不允许暴露异常的敏感信息.......13
3.6.3.......不允许抛出RuntimeException,Exception,Throwable.......14
3.6.4.......不要捕获NullPointerException或其他父类异常.......14
3.7.......多线程编程.......15
3.7.1.......确保共享变量的可见性.......15
3.7.2.......确保共享变量的操作是原子的.......16
3.7.3.......不要调用Thread.run(),不要使用Thread.stop()以终止线程.......18
3.7.4.......确保执行阻塞操作的线程可以终止.......18
3.7.5.......相互依存的任务不要在一个有限的线程池执行.......19
3.8.......输入输出.......19
3.8.1.......程序终止前删除临时文件.......19
3.8.2.......检测和处理文件相关的错误.......19
3.8.3.......及时释放资源.......19
3.9.......序列化.......20
3.9.1.......不要序列化未加密的敏感数据.......20
3.9.2.......在序列化过程中避免内存和资源泄漏.......21
3.9.3.......反序列化要在程序最小权限的安全环境中.......22
..............................
2.......背景.......5
3.......安全编码规范.......5
3.1.......输入验证和数据合法性校验.......5
3.1.1.......避免SQL注入.......5
3.1.2.......避免XML注入.......5
3.1.3.......避免跨站点脚本(XSS).......6
3.2.......声明和初始化.......6
3.2.1.......避免类初始化的相互依赖.......6
3.3.......表达式.......7
3.3.1.......不可忽略方法的返回值.......7
3.3.2.......不要引用空指针.......8
3.3.3.......使用Arrays.equals()来比较数组的内容.......8
3.4.......数字类型和操作.......8
3.4.1.......防止整数溢出.......8
3.4.2.......避免除法和取模运算分母为零.......9
3.5.......类和方法操作.......10
3.5.1.......数据成员声明为私有,提供可访问的包装方法.......10
3.5.2.......敏感类不允许复制.......10
3.5.3.......比较类的正确做法.......10
3.5.4.......不要硬编码敏感信息.......11
3.5.5.......验证方法参数.......11
3.5.6.......不要使用过时、陈旧或低效的方法.......11
3.5.7.......数组引用问题.......11
3.5.8.......不要产生内存泄露.......12
3.6.......异常处理.......12
3.6.1.......不要忽略捕获的异常.......12
3.6.2.......不允许暴露异常的敏感信息.......13
3.6.3.......不允许抛出RuntimeException,Exception,Throwable.......14
3.6.4.......不要捕获NullPointerException或其他父类异常.......14
3.7.......多线程编程.......15
3.7.1.......确保共享变量的可见性.......15
3.7.2.......确保共享变量的操作是原子的.......16
3.7.3.......不要调用Thread.run(),不要使用Thread.stop()以终止线程.......18
3.7.4.......确保执行阻塞操作的线程可以终止.......18
3.7.5.......相互依存的任务不要在一个有限的线程池执行.......19
3.8.......输入输出.......19
3.8.1.......程序终止前删除临时文件.......19
3.8.2.......检测和处理文件相关的错误.......19
3.8.3.......及时释放资源.......19
3.9.......序列化.......20
3.9.1.......不要序列化未加密的敏感数据.......20
3.9.2.......在序列化过程中避免内存和资源泄漏.......21
3.9.3.......反序列化要在程序最小权限的安全环境中.......22
..............................
下一篇:尚无数据