专栏特辑 | 开发安全铁三角纵横谈（九）安全编码

为了能更好地理解今天所讲，请大家先回顾一下之前“开发安全铁三角纵横谈”内容：专栏特辑 | 开发安全铁三角纵横谈（八）

第三章 应用安全

第六条 输入验证应统一，应对业务参数和其他输入均验证。

第七条 输出时需进行实体转换，防止嵌入可执行脚本风险。

第八条 用户认证应保持唯一性，防止被破解。

第九条 登录和交易应使用图形认证码等方式。涉及敏感信息的外部系统连接必须使用身份验证登录，未登录用户不能访问任何账户信息。

第十条 密码应采用国密算法加密，保证密码强度高不易被破解。如果采用手势密码，需使用我行的手势密码控件安全加密传输，键盘应至少为3*3的矩阵要求。

第十一条 会话安全应使用较强的会话标识符并进行有效性限制，禁止在cookie存储敏感信息。

第十二条 访问控制按照最小授权原则并遵循。

第十三条 系统中如果使用第三方组件，建议使用稳定的版本。

第十四条 处理错误和异常情况期间，应防止信息泄露。对每个重要的行为都进行日志记录。

第四章 网络与通信安全

第十五条 信息传输应使用强壮的加密算法和安全协议保护客户端与服务器之间的连接，保证传输数据的机密性和完整性。

第十六条 客户敏感信息涉及跨境传输过程中需要进行加密传输。