Web 开发者的安全检查清单

简评：开发安全可靠的 Web 应用程序非常困难，非常困难。
作者有 14 年开发安全 Web 应用程序的经验，这个列表包含了作者在这段时间内学到的一些重要问题， 希望每个人在创建 Web 应用程序时都能够认真考虑一下。

Database

• 加密识别用户或敏感信息的数据（如访问令牌 token，电子邮件地址或计费详细信息）。（这将限制精确匹配查找）
• 如果您的数据库支持低成本的空闲时加密（如AWS Aurora），则可以使其保护磁盘上的数据。确保所有备份都被加密存储。
• 对数据库访问用户帐户使用最小权限，不要使用数据库 root 帐户，并检查未使用的帐户和密码不正确的帐户。
• 使用为此目的设计的 key store 来存储和分发 secret，不要硬编码。
• 通过使用 SQL 预处理语句完全防止 SQL 注入，例如：如果使用 NPM，不要使用 npm-mysql，请使用支持预处理语句的 npm-mysql2。

**Authentication **

• 确保使用适当的加密算法（如 bcrypt）对所有的密码进行摘要处理，不要自己实现加密模块，并用正确的随机数据正确地初始化加密模块。
• 使用最佳实践和经过验证的组件进行登录、忘记密码和密码重置，不要自己去实现。
• 实现简单但足够的密码规则，鼓励用户使用长且随机的密码。
• 为您的所有服务使用多步身份验证（一般都是两步验证）。

Denial of Service Protection

• 确保 DOS 攻击 API 不会影响到网站，至少在较慢的 API 路径和身份验证相关的 API（如登录和令牌生成例程）上设置限速，考虑在前端 API 上使用验证码的来保护后端服务免受DOS 攻击。
• 对用户提交的数据和请求的大小和结构执行健全限制。
• 考虑使用全球缓存代理服务（如 CloudFlare）缓解 DDOS。

**Web Traffic **

• 对整个网站使用 TLS，而不仅仅是登录表单和响应。过渡性地，使用 strict-transport-security 请求头来强制所有请求使用 HTTPS。
• Cookie 必须是 httpOnly 和安全的，并且由路径和域限定。
• 使用无 ubsafe-* 后门的 CSP ，配置起来很痛苦，但值得。使用 CSP 的 Subresource Integrity 作为 CDN 内容。
• 在客户端响应中使用 X-Frame-Option，X-XSS-Protection 头。
• 使用 HSTS 响应强制仅允许 TLS 访问，将所有 HTTP 请求重定向到服务器上的 HTTPS 作为替代。
• 使用所有形式的 CSRF 令牌，并使用新的 SameSite Cookie 响应头。

APIs

• 确保您的公共 API 中无法枚举资源。
• 确保在使用您的 API 时，用户已经被完全验证和授权。

Validation and Encoding

• 在客户端进行输入验证以快速获得用户有效输入，但不要相信它，在显示之前始终对用户输入进行验证和转码。
• 使用服务器上的白名单验证每个用户输入的最后一个 bit，不要直接将用户内容注入到响应中，切勿在 SQL 语句或其他服务器端逻辑中使用不受信任的用户输入。

原文地址：Web Developer Security Checklist
扩展阅读：
Web 程序员进阶之路