这里会显示出您选择的修订版和当前版本之间的差别。
两侧同时换到之前的修订记录 前一修订版 后一修订版 | 前一修订版 | ||
appcenter:auditstandard [2017/02/17 11:31] zsxsoft 增加强制认证标准 |
appcenter:auditstandard [2020/03/13 10:21] zsx |
||
---|---|---|---|
行 1: | 行 1: | ||
<markdown> | <markdown> | ||
- | #Z-Blog应用中心 应用审核规范 | + | # Z-Blog应用中心 应用审核规范 |
## 注意 | ## 注意 | ||
行 22: | 行 22: | ||
* 不涉及编码转换等情况必须使用UTF-8编码,并确保文件不带BOM头; | * 不涉及编码转换等情况必须使用UTF-8编码,并确保文件不带BOM头; | ||
- | * 没有安全漏洞(包括SQL注入、跨站脚本攻击、跨站请求伪造等); | + | * 没有安全漏洞(包括SQL注入、跨站脚本攻击、跨站请求伪造等): |
+ | * SQL注入:Z-BlogPHP版本所有操作博客数据库的SQL均需要使用系统自带的SQL查询库,不允许手写SQL; | ||
+ | * 跨站脚本攻击:Z-BlogPHP 1.5.2起引入XssHtml,请在需要白名单的输出点调用它; | ||
+ | * 跨站请求伪造:Z-BlogPHP 1.5.2起引入CSRF防御功能,见:https://wiki.zblogcn.com/doku.php?id=zblogphp:development:features:1.5.2:security | ||
* 不存在主观故意可能给用户造成损失的恶意代码; | * 不存在主观故意可能给用户造成损失的恶意代码; | ||
+ | * 即使用户使用盗版应用,也禁止对用户数据进行破坏 | ||
* 在用户未明确知悉的情况下,严禁对其它应用进行任何的干扰或修改,除非该应用自行提供了公共接口; | * 在用户未明确知悉的情况下,严禁对其它应用进行任何的干扰或修改,除非该应用自行提供了公共接口; | ||
* 不含有.DS_Store、thumbs.db、_notes、.idea等无用文件或文件夹,不含有隐藏文件。 | * 不含有.DS_Store、thumbs.db、_notes、.idea等无用文件或文件夹,不含有隐藏文件。 | ||
行 40: | 行 44: | ||
* 移除了所有的UTF-8 BOM头; | * 移除了所有的UTF-8 BOM头; | ||
* 文件名大小写正确,无404页面; | * 文件名大小写正确,无404页面; |