科普
3)css放在所有標簽之前,有些放css前是為了做跳轉
請求檢查
1)任何頁面請求都不許出現IP地址或內網機器名
2)頁面統計功能:統計頁面瀏覽量、獨立訪客訪問量;新增頁面需檢查是否添加bc.qunar.com的調用
3) 圖片域名的驗證。qunar圖片一般使用域名是:souce.qunar.com、img1.qunarzz.com、userimg.qunar.com(酒店使用)、simg4.qunarzz.com只要訪問圖片必須使用這幾個域名。
4)圖片存放位置:專門的圖片存放服務器、cdn代理緩存
5)請求狀態檢查。驗證:不能有4XX、5XX請求;頁面跳轉301臨時跳轉,302永久跳轉,臨時跳轉時使用301,其他情況使用302狀態跳轉
6)應答報文大于1kb的需壓縮,小于1kb不需要壓縮
驗證:chrome瀏覽器,F12,如下如所示:其中size是傳輸時的數據大小,content是數據實際大小。
查看接口是否壓縮:Response Headers里的Content-Encoding字段為gzip為壓縮過
其他
1)驗證:測試url加/與不加時頁面都能正常訪問
2)驗證:tab鍵結合鼠標點擊方式檢查輸入框
3)驗證:數據庫要設置編碼方式
4)發布外網并包含敏感信息的接口需做安全測試。
5)輸入框測試:
自動過濾中英文空格、大小寫檢查、特殊字符串驗證(~!@#$%^&*()_+|{}[]:;'"/?《》<>)
類型驗證、邊界值驗證、超長字符驗證、null或NULL的檢查
輸入次數的限制、敏感詞驗證(顯示無結果)、密碼密文顯示且存庫后要加密
字符串首尾包含空格的驗證、腳本錄入檢查(
alert(/xss/))
6)前端代碼中不能出現console.log(),這樣會導致IE6、IE7、IE8無法兼容
7)后端代碼中禁止出現select * ,會耗費時間或導致磁盤空間不足
8)廣告位檢查,
驗證:a在URL請求中加入adtest=beta參數,查看是否廣告都能正常展示
9)按鈕測試
同時頻繁按鈕(確定數據庫插入數據有無問題);狀態為不可點擊狀態時點擊按鈕;
安全
1)發布外網且含有敏感信息的接口需要做安全測試,敏感信息包括:銀行卡號、手機號、密碼,驗證:提測試前檢查是DEV是否提交安全組測試,并檢查測試結果
2)發布外網前需要檢查郵箱和短信調用是否使用外網配置
3)任何頁面請求中不容許出現IP地址或者內網機器名
數據庫
1)禁止出現select *,會耗費時間或導致磁盤空間不足
2)確認服務器當前時間正確與否,方法:連接mysql,運行select now();
