"Web安全前端编码规范及安全审核要求"

<”，“>” 转成 “>”，“&” 转成 “&”，“”” 转成 “"”，“'” 转成 “'”； 3、在CTPL中，尽可能尽早对UI变量进行转义，即在加载模板时对UI变量进行转义，不要等到使用UI变量时再进行转义； 4、在非CTPL中，直接使用的UI变量需确保在使用前进行转义； 对于统一封装的UI变量输出函数，内部确保UI变量输出前已进行了转义。 JS代码编码规范： 规范： 1、禁止使用document.write、eval等动态插入JS的方式； 2、JS中的数据输出到HTML页面时，必须使用编码工具对输出做编码处理； 3、JS中的DOM操作必须进行属性值转义，即从属性值读取的数据，需要确保数据的安全处理； 4、JS中的HTTP请求必须对请求参数进行字符编码转义； 5、JS代码中的注释信息不能出现在浏览器中。 CSS代码编码规范： 规范： 1、在CSS中避免使用expression等具有严重安全漏洞的代码； 2、CSS中的URL引用必须进行CSS编码； 3、CSS代码中的注释信息不能影响页面布局和样式。 表单提交规范： 规范： 1、表单提交时，必须对提交的数据进行字符扫描，过滤半个汉字等非法字符； 2、表单提交时，必须对特定字段进行数据格式检验和有效性验证； 3、表单提交时，敏感参数必须进行加密处理。 Cookie规范使用： 规范： 1、Cookie写入时必须进行编码处理； 2、敏感Cookie信息必须进行加密处理； 3、Cookie中包含的URL信息必须进行编码处理； 4、Cookie写入时必须设置安全标志，防止信息被窃取。 页面安全规范： 规范： 1、页面中的重点业务和安全相关信息必须做安全防护处理； 2、页面中的URL信息必须进行安全处理； 3、页面中的敏感信息必须进行加密处理。 PHP安全编码： 规范： 1、输入数据必须进行PHP原生的转义处理； 2、输出数据必须进行PHP原生的编码处理； 3、数据处理时必须进行错误消息处理。 SQL规范： 规范： 1、SQL查询时，必须对查询的字段进行白名单过滤，过滤掉非法字段； 2、SQL查询时，必须对查询的条件和参数进行字符转义处理，避免SQL注入攻击； 3、SQL中的敏感字段或参数必须进行加密处理。 综上所述，web安全前端编码规范包括在项目设计阶段添加对安全的考虑，重点项目的设计需要安全审核，上线的JS代码必顼压缩和去除注释，模板的注释信息不能出现在浏览器中，RD必须对提交的字符串进行字符扫描和过滤非法字符，重点项目需要考虑安全方面的测试，UI变量使用需符合一定规范，JS代码、CSS代码、表单提交、Cookie使用、页面安全和PHP安全编码等方面也有相应的规范。个人在遵守这些规范的同时，也需要加强对安全方面知识的学习和实践，共同保障Web的安全。" 看起来是一篇描述web安全前端编码规范的材料。