不登錄:瀏覽器中直接輸入登錄后的地址,看是否可以直接進入
登錄成功后生成的Cookie,是否是httponly (否則容易被腳本盜取)
用戶名和密碼是否通過加密的方式,發(fā)送給Web服務器
用戶名和密碼的驗證,應該是用服務器端驗證, 而不能單單是在客戶端用javascript驗證
用戶名和密碼的輸入框,應該屏蔽SQL 注入攻擊
用戶名和密碼的的輸入框,應該禁止輸入腳本 (防止XSS攻擊)
錯誤登陸的次數限制(防止暴力破解)
考慮是否支持多用戶在同一機器上登錄;
考慮一用戶在多臺機器上登錄
推薦閱讀: