应用程序存在的安全隐患

　　之所以应用程序存在安全隐患，主要是因为开发人员缺乏足够的信息或理解。我们想要改变这一局面，但是我们也意识到人无完人，难免会有疏忽的地方。鉴于此，请记住这里的锦囊妙语：

• 永远不要相信用户提供的任何数据。
• 每当渲染作为用户输入而引入的数据时，请对其进行HTML编码（如果数据作为特性值显示，就应对其进行HTML特性编码（HTML-attriibute-encode））。
• 考录好网站的哪些部分允许匿名访问，哪些部分要求认证访问。
• 不要试图自己精华用户的HTML输入（使用白名单或其他方法）——否则就会失败。
• 在不需要通过客户端脚本（大部分情况下）访问cookie时，使用HTTP_only cookie。
• 请记住，外部输入不是显示的表单域，因为它包括URL查询字符串、隐藏表单域、Ajax请求以及我们使用的外部Web服务结果等。
• 强烈建议使用AntiXSS库。

　　显而易见，还有很多需要学习的内容——包括一些常见攻击的工作原理及其背后的意图。所以要试图揣测用户的想法，当然那些试图攻击我们站点的人也算是用户。这样您就有了敌人，他们正在等待您构建应用程序，好让他们过来过劳攻破它。如果以前没有遇到这种情况，那么可能的原因不外乎以下两种：

• 到目前为止还没有构建过应用程序。
• 以前没有发现人攻击自己的应用程序。