华为Web应用安全开发规范

DKBA

华为技术有限公司内部技术规范

DKBA 1606-XXXX.X

Web应用安全开发规范V1.5

2013年XX月XX日发布2013年XX月XX日实施华为技术有限公司

Huawei Technologies Co., Ltd.

版权所有侵权必究

All rights reserved

修订声明Revision declaration

本规范拟制与解释部门：

网络安全能力中心&电信软件与核心网网络安全工程部

本规范的相关系列规范或文件：

《C&C++语言安全编程规范》《Java语言安全编程规范》相关国际规范或文件一致性：

无

替代或作废的其它规范或文件：

无

相关规范或文件的相互关系：

《产品网络安全红线》和《电信软件与核心网业务部安全能力基线》中的Web安全要求引用了本规范的内容，如果存在冲突，以本规范为准。

规范号主要起草部门专家主要评审部门专家修订情况

DKBA 1606-2007.4 安全解决方案：赵武42873，杨光磊57125，万振华55108

软件公司设计管理部：刘茂征11000，刘高峰63564，何伟祥33428 安全解决方案：刘海军12014，吴宇翔18167，吴海翔57182

接入网：彭东红27279

无线：胡涛46634

核心网：吴桂彬41508，甘嘉栋33229，马进32897，谢秀洪33194，张毅27651，张永锋40582

业软：包宜强56737，丁小龙63583，董鹏越60793，傅鉴杏36918，傅用成30333，龚连阳18753，胡海，胡海华52463，李诚37517，李大锋54630，李战杰21615，刘创文65632，刘飞46266，刘剑51690，栾阳62227，罗仁钧65560，罗湘武06277，马亮，孟咏喜22499，潘海涛27360，孙林46580，王福40317，王锦亮36430，王美玲，王谟磊65558，王玉龙24387，杨娟，张锋43381，张健，张轶57143，邹韬51591 V1.0

何伟祥33428 刘高峰63564，龚连阳00129383，许汝波62966，吴宇翔00120395，王欢00104062，吕晓雨56987 V1.2

增加了Web Service、Ajax和上传和下载相关的安全规范。

何伟祥V1.3

增加了防止会话固定和防止跨站请求伪造的安全规范。

何伟祥V1.4

增加了"规则 3.4.1"的实施指导；删除了"建议 3.4.1"；修改了"6 配套CBB介绍"的内容和获取方式。增加了"3.9 DWR"

何伟祥00162822

吴淑荣00197720

魏建雄00222906

谢和坤00197709

李田00042091

孙波00175839

朱双红00051429 王伟00207440

陈伟00141500

V1.5

增加"规则3.3.9、规则 3.6.5、规则 4.7.1、建议 4.7.2、4.8 PHP"

增加"3.8 RESTful Web Service"

修改"规则3.2.2.8、规则 3.2.2.3、规则 3.4.1、规则 4.6.1"

删除"3.2.1口令策略"和"规则3.1.3、规则 3.2.3.8、规则 4.7.1"

附件文档作为对象直接插入主文档

目录Table of Contents

1 概述7

1.1 背景简介7

1.2 技术框架7

1.3 使用对象8