1. Loại bỏ các header chứa thông tin nhạy cảm như phiên bản web server, ví dụ: X-Powered-By, Server, X-AspNet-Version.
2. Bắt buộc có content-type trong response headers, nếu bạn trả về application/json thì header content-type sẽ có giá trị application/json.
3. Không trả về client các thông tin nhạy cảm như credentials, Passwords, security tokens.
4. Trả về status code tương ứng với hành động đã hoàn thành. (chẳng hạn 200 OK, 400 Bad Request, 401 Unauthorized, 405 Method Not Allowed…).
5. Không sử dụng Basic Auth. Sử dụng giao thức xác thực tiêu chuẩn (chẳng hạn JWT hay OAuth).
6. Không tự thiết kế lại các giải pháp Authentication, token generation, password storage. Hãy sử dụng các giải pháp tiêu chuẩn.
7. Sử dụng Max Retry và chức năng Auto Block ở trang Login.
8. Mã hóa các dữ liệu nhạy cảm.
9. Áp dụng Unit / Automation Test càng sớm càng tốt để giảm thời gian retest sau này.
10. Sử dụng lowercase letters trên URLs. Tránh sử dụng ký tự đặc biệt. Sử dụng hyphens (-) trên URIs thay vì underscores ( _ ) cho dễ đọc.

Có ý nào chưa rõ các bạn có thể comment bên dưới nhé.

(Tham khảo: shieldfy)