如何增强Web应用安全性

1、密码管理1.1、强制使用强密码。密码强度是由其长度和复杂度决定的。二者缺一不可。通俗讲至少8位以上，三种字符。数字、字母、特殊字符混合。1.2、密码长期未修改，登录后会有友善提醒。

2、身份验证3.1、当连续多次登录失败后，应强制锁定用户登录。3.2、身份验证地方启用了滑动验证码功能，防止恶意登录尝试。3.3、登录时启用了双因素认证，账号密码+短信验证码。

3、会话管理当修改了密码完成之后，立马系统就会自动退出登录，要求输入新密码重新登录。

4、资源访问控制对于关键资源的访问，比如个税信息查看和下载，要求输入密码。

5、输出控制对于展现给用户的信息，完全遵循了最小够用原则。不需要展现的数据，就不传输到用户端。