Keytool had generated .keystore secret key. and .keystore secret key generated csr file . finally, I submited csr file to GoDaddy to download website certificate.…

Web安全原则 1. 认证模块必须采用防暴力破解机制，例如：验证码或者多次连续尝试登录失败后锁定帐号或IP。 说明：如采用多次连续尝试登录失败后锁定帐号或IP的方式，需支持连续登录失败锁定策略的“允许连续失败 的次数”可配置，支持在锁定时间超时后自动解锁。 2. 对于每一个需要授权访问的页面或servlet的请求都必须核实用户的会话标识是否合法、用户是否被授 3. 权执行这个操作，以防止URL越权。 说明：防止用户通过直接输入URL，进行URL越权，请求并执行一些页面或servlet；建议通过过滤器实现。 4. 登录过程中，往服务器端传递用户名和口令时，必须采用HTTPS安全协议（也就是带服务器端证书的SSL）。 只提供本机接入、登录，做设备管理使用的场景暂时不要求。 说明：如果在客户端和服务器间传递如帐号、口令等敏感数据，必须使用带服务器端证书的SSL。由于SSL对 服务端的CPU资源消耗很大，实施时必须考虑服务器的承受能力。 5. 对用户的最终认证处理过程必须放到服务器进行。 6. 用户产生的数据必须在服务端进行校验；数据在输出到客户端前必须先进行HTML编码，以防止执行恶意 代码、跨站脚本攻击。对于不可信的数据，输出到客户端前必须先进行 HTML 编码。 7. 使用主流Web安全扫描工具扫描Web服务器和Web应用，不存在“高”级别的漏洞。 8. 非嵌入式产品的Web应用，应使用预编译语句PreparedStatement代替直接的语句执行Statement， 以防止SQL注入。 数据库安全 外购数据库、开源数据库、自研数据库都应进行安全配置，保证不出现安全漏洞。 1. 数据库口令禁止使用数据库厂商的缺省口令，且口令复杂度需满足“口令安全要求”。…