1、防止爆破
- 限制请求ip访问次数,超过设定访问次数后,拒绝访问或锁定N分钟后可再次请求
2、调用短信验证码时
- 加入验证码
- 采用防爆破策略
3、上传后的文件防止被猜出爬取
- 保存在物理磁盘可进行加密防护
- 文件不能存储在站点目录,防止通过url地址直接访问到文件
- 采用请求下载的方式访问文件(即加一层action,统一由这个action进行处理)
4、密码策略
- 8位字符+数字+特殊字符串组合
- 90天后,强制更新一次密码
5、登录防护
- 登录时,加入验证码(或错误1次后,显示验证码)
- 3次错误,锁定ip及帐户,提示N分钟后解锁重试
- 用户或密码错误,不能明确提示。比如:不能提示用户错误,不能提示密码错误