1. 确保您的Web服务器不发送显示有关后端技术类型或版本信息的响应头。
2. 确保服务器打开的端口上运行的所有服务都不会显示有关其构建和版本的信息。
3. 确保所有目录的访问权限正确,保证不会让攻击者访问到你的所有文件。
4. 不要在代码中将账户密码硬编码进去。也不要在注释中写入相关信息。
5. 在web服务器中为所有类型的应用程序配置MIME信息
6. 不需要上传到网站上的敏感信息永远都不要上传
7. 始终检查每个创建/编辑/查看/删除资源的请求是否具有适当的访问控制,防止越权访问,并确保所有机密信息保密。
8. 确保您的Web应用程序正确处理用户输入,并且始终为所有不存在/不允许的资源返回通用响应,以便混淆攻击者。
9. 后端代码应该考虑到所有情况,并且当异常发生时,能够保证信息不被泄漏。
10. 配置Web服务器以禁止目录遍历,并确保Web应用程序始终显示默认网页。