1.【強制】隸屬于用戶個人的頁面或者功能必須進行權限控制校驗。 說明：防止沒有做水平權限校驗就可隨意訪問、操作別人的數據，比如查看、修改別人的訂單。 2.【強制】用戶敏感數據禁止直接展示，必須對展示數據脫敏。 說明：查看個人手機號碼會顯示成:158****9119，隱藏中間 4 位，防止隱私泄露。 3.【強制】用戶輸入的 SQL 參數嚴格使用參數綁定或者 METADATA 字段值限定，防止 SQL 注入，禁止字符串拼接 SQL 訪問數據庫。 4.【強制】用戶請求傳入的任何參數必須做有效性驗證。 說明：忽略參數校驗可能導致： 1)page size 過大導致內存溢出 2)惡意 order by 導致數據庫慢查詢 3)任意重定向 4)SQL 注入 5)反序列化注入 6)正則輸入源串拒絕服務 ReDoS 5.【強制】禁止向 HTML 頁面輸出未經安全過濾或未正確轉義的用戶數據。 6.【強制】表單、AJAX 提交必須執行 CSRF 安全過濾。 說明：CSRF(Cross-site request forgery)跨站請求偽造是一類常見編程漏洞。對于存在CSRF 漏洞的應用/網站，攻擊者可以事先構造好 URL，只要受害者用戶一訪問，后臺便在用戶不知情情況下對數據庫中用戶參數進行相應修改。 7.【強制】在使用平臺資源，譬如短信、郵件、電話、下單、支付，必須實現正確的防重放限 制，如數量限制、疲勞度控制、驗證碼校驗，避免被濫刷、資損。 說明：如注冊時發送驗證碼到手機，如果沒有限制次數和頻率，那么可以利用此功能騷擾到其它用戶，并造成短信平臺資源浪費。 8.【推薦】發貼、評論、發送即時消息等用戶生成內容的場景必須實現防刷、文本內容違禁詞 過濾等風控策略。