科普
  css放在所有标签之前,有些放css前是为了做跳转
  请求检查
  1)任何页面请求都不许出现IP地址或内网机器名
  2)页面统计功能:统计页面浏览量、独立访客访问量;新增页面需检查是否添加bc.qunar.com的调用
  3) 图片域名的验证。qunar图片一般使用域名是:souce.qunar.com、img1.qunarzz.com、userimg.qunar.com(酒店使用)、simg4.qunarzz.com只要访问图片必须使用这几个域名。
  4)图片存放位置:专门的图片存放服务器、cdn代理缓存
  5)请求状态检查。验证:不能有4XX、5XX请求;页面跳转301临时跳转,302跳转,临时跳转时使用301,其他情况使用302状态跳转
  6)应答报文大于1kb的需压缩,小于1kb不需要压缩
  验证:chrome浏览器,F12,如下如所示:其中size是传输时的数据大小,content是数据实际大小。
  查看接口是否压缩:Response Headers里的Content-Encoding字段为gzip为压缩过
  其他
  1)验证:测试url加/与不加时页面都能正常访问
  2)验证:tab键结合鼠标点击方式检查输入框
  3)验证:数据库要设置编码方式
  4)发布外网并包含敏感信息的接口需做安全测试。
  5)输入框测试:
  自动过滤中英文空格、大小写检查、特殊字符串验证(~!@#$%^&*()_+|{}[]:;'"/?《》<>)
  类型验证、边界值验证、超长字符验证、null或NULL的检查
  输入次数的限制、敏感词验证(显示无结果)、密码密文显示且存库后要加密
  字符串首尾包含空格的验证、脚本录入检查(
  alert(/xss/))
  6)前端代码中不能出现console.log(),这样会导致IE6、IE7、IE8无法兼容
  7)后端代码中禁止出现select * ,会耗费时间或导致磁盘空间不足
  8)广告位检查,
  验证:a在URL请求中加入adtest=beta参数,查看是否广告都能正常展示
  9)按钮测试
  同时频繁按钮(确定数据库插入数据有无问题);状态为不可点击状态时点击按钮;
  安全
  1)发布外网且含有敏感信息的接口需要做安全测试,敏感信息包括:银行卡号、手机号、密码,验证:提测试前检查是DEV是否提交安全组测试,并检查测试结果
  2)发布外网前需要检查邮箱和短信调用是否使用外网配置
  3)任何页面请求中不容许出现IP地址或者内网机器名
  数据库
  1)禁止出现select *,会耗费时间或导致磁盘空间不足
  2)确认服务器当前时间正确与否,方法:连接mysql,运行select now();