web信息泄露注意事項

1. 確保您的Web服務器不發送顯示有關後端技術類型或版本信息的響應頭。

2. 確保服務器打開的端口上運行的全部服務都不會顯示有關其構建和版本的信息。

3. 確保全部目錄的訪問權限正確，保證不會讓攻擊者訪問到你的全部文件。

4. 不要在代碼中將帳戶密碼硬編碼進去。也不要在註釋中寫入相關信息。

5. 在web服務器中爲全部類型的應用程序配置MIME信息

6. 不須要上傳到網站上的敏感信息永遠都不要上傳

7. 始終檢查每一個建立/編輯/查看/刪除資源的請求是否具備適當的訪問控制，防止越權訪問，並確保全部機密信息保密。

8. 確保您的Web應用程序正確處理用戶輸入，而且始終爲全部不存在/不容許的資源返回通用響應，以便混淆攻擊者。

9. 後端代碼應該考慮到全部狀況，而且當異常發生時，可以保證信息不被泄漏。

10. 配置Web服務器以禁止目錄遍歷，並確保Web應用程序始終顯示默認網頁。