web信息泄露注意事项

1. 确保您的Web服务器不发送显示有关后端技术类型或版本信息的响应头。

2. 确保服务器打开的端口上运行的全部服务都不会显示有关其构建和版本的信息。

3. 确保全部目录的访问权限正确，保证不会让攻击者访问到你的全部文件。

4. 不要在代码中将帐户密码硬编码进去。也不要在注释中写入相关信息。

5. 在web服务器中为全部类型的应用程序配置MIME信息

6. 不须要上传到网站上的敏感信息永远都不要上传

7. 始终检查每一个建立/编辑/查看/删除资源的请求是否具备适当的访问控制，防止越权访问，并确保全部机密信息保密。

8. 确保您的Web应用程序正确处理用户输入，而且始终为全部不存在/不容许的资源返回通用响应，以便混淆攻击者。

9. 后端代码应该考虑到全部状况，而且当异常发生时，可以保证信息不被泄漏。

10. 配置Web服务器以禁止目录遍历，并确保Web应用程序始终显示默认网页。