最近接触的安全性测试点

检查每个数据交互页面，前后端应该同时使用正则表达式对客户端传入参数进行严格过滤，禁止出现select、from、where、union、and、or、exec等sql关键字，限制参数长度
 2.更新到较新/稳定的jQuery库
 3.设置Cookie的 HttpOnly 和 Secure标识
 4.防止上传漏洞:凡是上传到服务端的文件,必须做内容检测(非文件后缀)以判断真实文件格式,并对文件改名(随机重命名)
 5.设置目录权限(如D盘upload设置不可执行)
 6.防止跨站脚本工攻击:
        过滤输入, 禁止出现<>、<script>、<iframe>、alert等脚本标记及html代码:
        String testUrl =request.getParameter("testUrl");  
        successUrl = successUrl.replaceAll("<","")//匹配尖括号  
                           .replaceAll(">","")//匹配尖括号  
                           .replaceAll("\"","")//匹配双引号  
                           .replaceAll("\'","")//匹配单引号  
                           .replaceAll("\\(.*?\\)","")//匹配左右括号  
                           .replaceAll("[+]","");//匹配加号  

 7.建议表单增加token(令牌)或其他机制,防止重复提交