Web安全防护技术解决方案

1、防止爆破

• 限制请求ip访问次数，超过设定访问次数后，拒绝访问或锁定N分钟后可再次请求

2、调用短信验证码时

• 加入验证码
• 采用防爆破策略

3、上传后的文件防止被猜出爬取

• 保存在物理磁盘可进行加密防护
• 文件不能存储在站点目录，防止通过url地址直接访问到文件
• 采用请求下载的方式访问文件（即加一层action，统一由这个action进行处理）

4、密码策略

• 8位字符+数字+特殊字符串组合
• 90天后，强制更新一次密码

5、登录防护

• 登录时，加入验证码（或错误1次后，显示验证码）
• 3次错误，锁定ip及帐户，提示N分钟后解锁重试
• 用户或密码错误，不能明确提示。比如：不能提示用户错误，不能提示密码错误