输入和输出
1 .检查是否做了html代码的过滤,可能出现的问题:如果有人输入恶意的html代码,会导致窃取cookie,产生恶意登录表单,破坏网站。
2 .检查输入数值的合法性,异常的数值可能会造成问题。如果对输入的数值不做检查会造成不合法的或者错误的数据存入UDB,存入其他的数据库或者导致意料之外的程序操作发生。
3.核实cookie的使用以及对用户数据的处理可能出现的问题,不正确的cookie使用可能造成数据泄露。
4 .在数据库阶段要对get,post传入的参数进行严格的过滤和合法性验证,不推荐直接使用数据。
用户记录
1 .确保对用户关键的操作保存了完整的访问记录。
2 .
引号
1 .最外层使用双引号
2 .url的内容要用引号
3 .属性选择器中的属性值需要引号
省略嵌入资源协议头
1 .省略图片,媒体文件,样式表和脚本等url协议头部声明(http,https)
2 .省略协议声明,使url成相对地址,防止内容混淆和导致小文件重复下载(主要是指http和https交杂的场景中)
<script src="//www.google.com/js/gweb/analytics/autotrack.js"></script>
.example { background: url(//www.google.com/images/example)};
按模块添加注释
1 .在每个模块开始和结束的地方添加注释。
2 .新闻列表模块,排行榜模块
