網站開發時安全訪問控制原則有哪些

網站開發時安全訪問控制原則有以下這些：

• 只使用可信系統對象（比如，服務器端會話對象）以做出訪問授權的決定。使用一個單獨的全站點部件以檢查訪問授權，包括調用外部授權服務的庫文件。安全地處理訪問控制失敗的操作。

• 如果應用程序無法訪問其安全配置信息，則拒絕所有的訪問。在每個請求中加強授權控制，包括：服務器端腳本產生的請求，includes和來自像AJAX和FLASH那樣的富客戶端技術的請求。

• 如果狀態數據必須存儲在客戶端，使用加密算法，并在服務器端檢查完整性以捕獲狀態的改變。

• 限制單一用戶或設備在一段時間內可以執行的事務數量。事務數量/時間應當高于實際的業務需求，但也應該足夠低，以判定自動化攻擊。

• 僅使用referer頭作為輔助性質的檢查，它永遠不能被單獨用來進行身份驗證檢查，因為它可以被偽造。

• 如果長的身份驗證會話被允許，則應周期性地重新驗證用戶的身份，以確保他們的權限沒有改變。如果發生改變，注銷該用戶，并強制他們重新執行身份驗證。

• 執行賬戶審計并將沒有使用的賬號強制失效（比如，在用戶密碼過期后的30天以內）。

• 應用程序必須支持賬戶失效，并在賬戶停止使用時終止會話（比如，角色、職務狀況、業務處理的改變等）。服務賬戶或連接到外部系統或來自外部系統的賬號，應當只有盡可能小的權限。

• 建立一個“訪問控制政策”，以明確一個應用程序的業務規則、數據類型和身份驗證的標準或處理流程。

回答所涉及的環境：聯想天逸510S、Windows 10。