1.Client不可信
所有來自於Client的輸入,包括ajax都不應該直接輸出在畫面上,直接帶入SQL語句,造成XSS及SQLinjection問題。
如果是對外的api,要注意有沒有機會被亂打,必要時要鎖ip或是透過未對外的後端先取得訪問權限。
認真的過濾每一個requset內容,但也要注意不要給過多的錯誤提示,讓攻擊者方便找出規則。
2.一次性
2.