安全编码规范 版本控制 编号 修订人 修订时间 版本号 修订内容说明 目录1 背景 2 目标 3 适应范围 4 安全概念 5 应用安全编码规范 1.1 Session使用及处理 1.2 Cookie使用及处理 1.3 URL参数 1.4 表单提交 1.5 Ajax 1.6 接口签名 1.7 信息验证 1.8 线程控制 1.9 业务边界及业务检测 1.10 数据库 1.11 资金处理 1.12 数据 1.13 远程调用 1.14 口令策略 1.15 应用攻击防守策略 6 JVM安全和JAVA语言安全特性 7 日常维护发布检测规范 8 参考资料 10 背景 安全编码规范可以说是公司安全体系的重要部分，安全编码做得不好，直接导致系统漏洞，资金账户被盗，用户损失，更重要的是给XXX公司的形象带来负面的影响。因此安全编码规范亟待出炉，来进一步规范公司的工程师编码安全意识。本编码规范以J2EE相关编程为基础，进行举例和解释。 目标 从应用系统安全角度出发，结合过去的编码经验和问题总结，给出合适的安全编码条文实例，突出重点和安全分类，在目前已知的多项重大安全问题上进行总结和目前流行的安全问题做法，当然安全问题的多样性，也会不断进行修改本规范，以持续的进行指导XXX工程师的编码安全意识。 适应范围 公司相关程序员、工程师及相关技术人员。 安全概念 不仅仅是被攻击和解密，造成代码覆盖、金额数据错误、内存溢出，死锁，宕机，甚至发布顺序错误等等一切非正常现象，XXX都认为是安全问题。软件开发安全应该在几个阶段都有体现，需求，设计，开发，测试，部署上线等多个阶段。本规范主要描述在研发编码阶段的注意事项。 本标准基本参照OWASP TOP 10的相关要求制订，建议读者认真阅读其中具体内容，以加深对信息安全的理解。 应用安全编码规范 Session使用及处理 Session修改： 除了登录处理公共类，不允许在代码中修改Session中的用户识别信息，如user_id、user_email等，以及用户操作相关的的内容。(