数据安全规范

为了提高数据安全,在进行数据存储和提取时,需要注意数据的控制,否则很容易出现下面的数据安全问题。

问题名称 问题危害 开发建议
明文存储 很多涉及个人隐私数据(例:身份证号码、手机号码、住址等),如果在数据库没有进行过加密,可能导致数据泄露(黑客攻击、内部泄密)后造成较大信息安全隐患。 后端在存储数据时候,对特定字段进行加密处理
信息泄露 攻击者可能使用低权限用户请求高权限的接口,调用接口获取数据。 后端查询数据返回阶段应该进行脱敏处理

明文存储检查

明文存储主要需要数据安全存储的问题,就需要实现框架层的数据存储时自动加密

  • 登录控制,是逻辑上的细节控制,比如 单设备登录、登录环境检测、登录异常检测
  • 接口鉴权根据不同的框架,有不同的出来方式

信息泄露检查

文件上传漏洞就需要前端和后端使用黑名单、白名单严格限制上传文件的类型和大小。

  • 前端控制,根据业务需求,指定上传文件格式、大小限制
  • 后端控制,在上传接口添加文件类型检测、大小限制
  • 运维控制,在 Nginx 负载均衡限制上传文件大小
作者:Jeebiz  创建时间:2022-11-07 19:03
最后编辑:Jeebiz  更新时间:2024-11-14 21:58