appcenter:auditstandard
差别
这里会显示出您选择的修订版和当前版本之间的差别。
| 两侧同时换到之前的修订记录 前一修订版 后一修订版 | 前一修订版 | ||
|
appcenter:auditstandard [2017/02/17 11:31] zsxsoft 增加强制认证标准 |
appcenter:auditstandard [2020/03/13 10:21] zsx |
||
|---|---|---|---|
| 行 1: | 行 1: | ||
| <markdown> | <markdown> | ||
| - | #Z-Blog应用中心 应用审核规范 | + | # Z-Blog应用中心 应用审核规范 |
| ## 注意 | ## 注意 | ||
| 行 22: | 行 22: | ||
| * 不涉及编码转换等情况必须使用UTF-8编码,并确保文件不带BOM头; | * 不涉及编码转换等情况必须使用UTF-8编码,并确保文件不带BOM头; | ||
| - | * 没有安全漏洞(包括SQL注入、跨站脚本攻击、跨站请求伪造等); | + | * 没有安全漏洞(包括SQL注入、跨站脚本攻击、跨站请求伪造等): |
| + | * SQL注入:Z-BlogPHP版本所有操作博客数据库的SQL均需要使用系统自带的SQL查询库,不允许手写SQL; | ||
| + | * 跨站脚本攻击:Z-BlogPHP 1.5.2起引入XssHtml,请在需要白名单的输出点调用它; | ||
| + | * 跨站请求伪造:Z-BlogPHP 1.5.2起引入CSRF防御功能,见:https://wiki.zblogcn.com/doku.php?id=zblogphp:development:features:1.5.2:security | ||
| * 不存在主观故意可能给用户造成损失的恶意代码; | * 不存在主观故意可能给用户造成损失的恶意代码; | ||
| + | * 即使用户使用盗版应用,也禁止对用户数据进行破坏 | ||
| * 在用户未明确知悉的情况下,严禁对其它应用进行任何的干扰或修改,除非该应用自行提供了公共接口; | * 在用户未明确知悉的情况下,严禁对其它应用进行任何的干扰或修改,除非该应用自行提供了公共接口; | ||
| * 不含有.DS_Store、thumbs.db、_notes、.idea等无用文件或文件夹,不含有隐藏文件。 | * 不含有.DS_Store、thumbs.db、_notes、.idea等无用文件或文件夹,不含有隐藏文件。 | ||
| 行 40: | 行 44: | ||
| * 移除了所有的UTF-8 BOM头; | * 移除了所有的UTF-8 BOM头; | ||
| * 文件名大小写正确,无404页面; | * 文件名大小写正确,无404页面; | ||