| 业务类型 | 应用类型 | 前端安全规范 | 应用安全规范 | 系统安全扫描 | 文件内容检查 | 验证订购者登录 | 数据分区 | 限制web访问 |
| 店铺模块 | 前台 | 前端编码规范, flash规范 |
csrf,php,java,fetchurl,sql | yes | yes | - | - | - |
| 店铺模块 | 后台 | 无限制 | csrf,php,java,fetchurl,sql | yes |
yes | yes | - | - |
| 三方建站--U站/爱淘宝/特色中国/品牌站/全球美食/阿里妈妈大客户 | 仅前台 | 前端编码规范, cajaurl白名单, flash规范 |
csrf,php,java ,fetchurl,sql | yes | yes | - | - | - |
| 商家工具--微淘/御膳房 | 前台(无线端) | 无限制 | csrf,php,java,fetchurl,sql | yes | yes | - | - | - |
| 商家工具--微淘/御膳房 | 后台(PC) | 前端编码规范, cajaurl白名单 |
csrf,php,java,fetchurl,sql | yes | yes | yes | - | - |
包括html、css、kissy使用规范,要求必须使用kissy。点击查看
首先进行域名黑名单过滤,如果在黑名单则直接过滤,如果不在黑名单,然后再进行顶级域名白名单过滤,如果不在白名单则过滤。(根据业务的不同会有部分变化)
域名白名单如下:
.taobao.com
.taobao.net
.alipay.com
.alibaba.com
.alimama.com
.koubei.com
.alisoft.com
.taobaocdn.com
.taobaocdn.net
.tbcdn.cn
.tmall.com
.etao.com
.juhuasuan.com
.hitao.com
.alicdn.com
域名黑名单:
s.click.alimama.com
gouwu.alimama.com
cam.taoke.alimama.com
tms.taoke.alimama.com
search8.taobao.com
p.alimama.com
z.alimama.com
t.alimama.com
s.click.taobao.com
huoban.taobao.com
login.taobao.com
member1.taobao.com
使用的flash,不能放在程序包中直接部署到TAE空间,请使用Tae提供的flash管理后台进行上传和引用。后台地址
flash的规范如下,如果不符合规范,上传是无效的。 点击下载测试的flash
1.不能使用js脚本,因为我们会控制embed的属性allowScriptAccess="never"
2.只能使用as3
3.所有表示url的变量和常量,全部显式的写出访问域名,形如http://www.taobao.com/$aaa,方便程序扫描,否则视为非法域名
4.如果用as3开发的flash文件中没有脚本,也需要加一行任意as3脚本,可以是注释或者其他不影响的。
应用安全规范, 点击查看 。
TOP API: PHP版本接口请求的时候,必须使用demo中的topclient.php文件 DEMO下载 ,其他的文件使用top-sdk中的文件就好。因为TAE的调用接口有些处理,需要使用优化过的topclient.php文件。 JAVA版本直接使用top-sdk就行了。
php: php白名单 点击查看
Java: java安全策略配置 点击查看
TAE:.taobao.com; .alipay.com; .aliyun.com; .alibaba.com; .taobaocdn.com; .alicdn.com; .baidu.com; tb.card.cd; .chinaw3.com; api.weibo.com; open.try8.info; www.duitang.com; whzf011478.chinaw3.com;
TAE:外部域名需要单独申请开通。
response sendredirect会根据tbml 的a标签的黑白名单做验证
response禁止写cookie
禁用的函数:version load_file database schema user system_user session_user benchmark current_user sleep xmltype receive_message
禁用的变量:basedir version_compile_os version datadir
ISV的应用访问卖家数据必须通过oauth得到卖家授权
不能跨卖家聚合数据
不得将卖家数据导出到TAE之外的环境
否则下线应用并追究相应法律责任
css、js文件都放到assets文件下
js会合并成一个文件,目前最多只支持3个
css也会合并成一个文件
业务套头(包含公共套头):三方建站前台,微淘后台
公共套头:微淘前台,御膳房,店铺模块前台,独立模块前台