1. 通用规范

1. 访问外部对象时， 需要先判断对象是否为空。
2. 功能失效时， 必须彻底删除对应的功能代码。

说明： JavaScript为解释性语言， 若代码中的功能失效时必须删除相应的代码， 因为使用注释等形式并不能彻底的清理， 恶意人员可通过修改注释轻易恢复待清理的功能， 影响产品的使用。

3. 禁用注释中含有员工的个人信息。

说明： 带有员工的个人信息的注释有可能会泄露具体的开发人员信息， 从而引入社会工程学方面的风险。

4. 禁止硬编码用户口令。
5. 在客户端对外部输入进行校验。
6. 使用JavaScript混淆器。

说明： JavaScript混淆器转换JavaScript源代码为加干扰和完全不可读的形式。

2. 输入校验

1. 禁止使用eval()函数来处理来自外部的不可信数据。

说明： eval()函数存在安全隐患。 该函数可以把输入的字符串当作JavaScript表达式执行， 容易被恶意用户利用。 且IE9下利用eval()存在内存泄露问题。 （使用eval()函数反复构造对象为JavaScript对象符号(JSON)字符串时， 浏览器占用的内存使用量意外增加）。

2. 禁止直接对不可信的JavaScript对象进行序列化。

(1) 安全敏感对象不应被序列化 (2) 验证反序列化对象的数据， 过滤特殊字符

3. 禁止直接将不可信的数据组装成JSON对象。
4. 禁止将不可信的数据直接组装到JavaScript数组。
5. 禁止未验证的输入作为重定向的URL。
6. 禁止将未验证的输入作为客户端系统的路径。

说明： 通过用户输入控制file system操作目录路径， 借此攻击者可以访问或修改其他受保护的系统资源。

7. 禁止直接将不可信的数据插入到web页面中。

说明： 跨站脚本攻击的发生是由于web应用程序没能正确地过滤用户提交的内容而把它们呈现在HTML中， 这允许攻击者插入任何的HTML元素进入到Web页面中， 通过是<script>标签的形式， 攻击者经常使用XSS攻击盗取cookie和会话信息， 或者诱骗用户把隐私信息发送给错误的人。

3. 其他

1. 禁止在LocalStorage存储敏感数据。

说明： HTML5提供LocalStorage和SessionStorage映射， 以支持开发人员保留程序值。 SessionStorage映射仅在页面实例和即时浏览器会话期间为调用页面提供存储。 但是， LocalStorage映射会提供可供多个页面实例和浏览器实例访问的存储， 此功能允许应用程序在多个浏览器的选项卡或窗口中保留和使用同一个信息。

借助多个浏览器选项卡使用用户值的功能， 开发人员必须多加小心， 以免将敏感信息从SessionStorage范围移到LocalStorage。 反之亦然。