通用 Web 项目安全加固 Checklist(语言无关通用模板)
✅ 通用 Web 项目安全加固 Checklist(语言无关通用模板)
(适用于 Java / Node.js / Python / PHP / Go / Ruby / .NET 等后端技术,同时包含认证、输入验证、依赖管理、安全测试等核心安全点)
✅ 一、基础配置与环境安全
| 项目 | 检查项 | 是否完成 |
|---|---|---|
| 配置文件 | 配置中不应包含明文密码、密钥,应使用环境变量或加密服务 | ☐ |
| 环境区分 | 明确区分 dev/test/prod 环境,生产环境关闭 debug/trace/logging | ☐ |
| 默认配置 | 不使用框架/数据库/中间件的默认账号密码 | ☐ |
| 证书管理 | 所有接口应启用 HTTPS,并部署 HSTS 策略 | ☐ |
✅ 二、输入输出与数据安全
| 项目 | 检查项 | 是否完成 |
|---|---|---|
| 输入验证 | 所有用户输入必须进行白名单校验、防止特殊字符注入 | ☐ |
| 输出转义 | 所有输出到 HTML 的内容需进行转义防止 XSS | ☐ |
| SQL 注入 | 所有数据库操作应使用参数绑定或 ORM 框架 | ☐ |
| 文件上传 | 文件名重命名、限制类型、检查文件头、不执行上传目录 | ☐ |
| 数据加密 |