科普
3)css放在所有标签之前,有些放css前是为了做跳转
请求检查
1)任何页面请求都不许出现IP地址或内网机器名
2)页面统计功能:统计页面浏览量、独立访客访问量;新增页面需检查是否添加bc.qunar.com的调用
3) 图片域名的验证。qunar图片一般使用域名是:souce.qunar.com、img1.qunarzz.com、userimg.qunar.com(酒店使用)、simg4.qunarzz.com只要访问图片必须使用这几个域名。
4)图片存放位置:专门的图片存放服务器、cdn代理缓存
5)请求状态检查。验证:不能有4XX、5XX请求;页面跳转301临时跳转,302永久跳转,临时跳转时使用301,其他情况使用302状态跳转
6)应答报文大于1kb的需压缩,小于1kb不需要压缩
验证:chrome浏览器,F12,如下如所示:其中size是传输时的数据大小,content是数据实际大小。
查看接口是否压缩:Response Headers里的Content-Encoding字段为gzip为压缩过
其他
1)验证:测试url加/与不加时页面都能正常访问
2)验证:tab键结合鼠标点击方式检查输入框
3)验证:数据库要设置编码方式
4)发布外网并包含敏感信息的接口需做安全测试。
5)输入框测试:
自动过滤中英文空格、大小写检查、特殊字符串验证(~!@#$%^&*()_+|{}[]:;'"/?《》<>)
类型验证、边界值验证、超长字符验证、null或NULL的检查
输入次数的限制、敏感词验证(显示无结果)、密码密文显示且存库后要加密
字符串首尾包含空格的验证、脚本录入检查(
alert(/xss/))
6)前端代码中不能出现console.log(),这样会导致IE6、IE7、IE8无法兼容
7)后端代码中禁止出现select * ,会耗费时间或导致磁盘空间不足
8)广告位检查,
验证:a在URL请求中加入adtest=beta参数,查看是否广告都能正常展示
9)按钮测试
同时频繁按钮(确定数据库插入数据有无问题);状态为不可点击状态时点击按钮;
安全
1)发布外网且含有敏感信息的接口需要做安全测试,敏感信息包括:银行卡号、手机号、密码,验证:提测试前检查是DEV是否提交安全组测试,并检查测试结果
2)发布外网前需要检查邮箱和短信调用是否使用外网配置
3)任何页面请求中不容许出现IP地址或者内网机器名
数据库
1)禁止出现select *,会耗费时间或导致磁盘空间不足
2)确认服务器当前时间正确与否,方法:连接mysql,运行select now();
