15.安全考慮:
直接url鏈結檢查:在web系統中,匿名在位址列直接輸入各個功能頁面的url位址,檢查系統是否處理了許可權控制
預防方法:
➢開發:**走查的方式確認所有頁面的具有許可權驗證邏輯
➢測試:獲取所有系統url,在非登入情況下進行遍歷截圖,或關鍵字判斷,驗證非登入狀態下無法訪問具有訪問許可權限定的
17.關於cookie:
cookie沒有設定過期時間
ie不支援cookie的時候沒有任何提示資訊
cookie中的敏感資訊沒有進行加密
預防方法:
➢ 開發:明確cookie生存期,並對生成的cookie進行檢查,建立標準的檢查瀏覽器對 cookie支援的程式函式
➢ 測試:檢查cookie的生存週期,以及是否存在敏感內容
cookie 和 session 的區別,如果cookie功能關閉了,對於session 是否有影響?
18.各種資源連線的釋放:
有的時候,系統莫名訪問不了,有可能是資料庫連線沒有釋放,壓力測試的時候,連線釋放如果效率不高,則有可能出現大量連線超時失敗記憶體洩露,長時間工作記憶體被佔滿了。
預防方法:
➢ 開發:系統資源的釋放過程,最好通過**review的方式來互相監督
➢ 測試:進行穩定性測試,驗證長時間工作情況下的資源是否可以釋放
關於keepalive的設定:
如果需要在乙個連線同時獲取多個資源,則需要開啟apache或者resin的keepalive引數為on,來提高系統的處理能力,減少多次建立連線所消耗的資源。如果大量的處理只是一次性連線,則不要開啟keepalive設定。在實際工作中,需要將keepalive分別設定on或者off來驗證哪個設定的效能更好
19.系統上線的log配置:
上線以後,要關閉無用大量除錯log資訊
不要開啟過多的log
預防方法:
➢ 運維和開發:系統管理員對所有開啟log級別進行確認,並**相關人確認
20.使用者易用性:
使用者刪除某個資料前,要明確提示使用者是否要刪除,預設把焦點擊擇為
「否」。
預防方法:
➢ 開發:按照上述要求進行焦點設定
➢ 測試:進行測試確認
21.文件:
• 程式實現和介面文件描述不一致
預防方法:
➢ 開發:團隊中專人定期對介面文件進行審核和更新,保證文件、需求
變更和程式實現保持一致
➢ 測試:僅參照文件進行測試
多表操作:
詳細設計文件缺失,介面對多表進行操作時候,經常會發生有些表的資料沒有被更
新的情況
預防方法:
➢ 開發:審核設計文件是否覆蓋必要的邏輯,加強**審查
➢ 測試:通過查詢介面判斷所有插入介面的資料庫操作是否正確
22.引數的容錯處理:
介面沒有對引數進行必要的容錯,引數出現錯誤的時候,介面也沒有做相應的錯誤處理,文件也沒有
描述容錯機制和返回**
預防方法:
➢ 開發:明確每個介面對哪些情況進行必要的容錯,並寫到設計文件中,由leader 進行文件審核
➢ 測試:嚴格按照介面文件的容錯描述進行測試,並且可以結合引數型別和非法引數進行結合測試
思考:如果介面加入了非常多的嚴格判斷,這個是好事兒?還是不好的事兒?
假設測試的產品是開放平台或者公司內部服務的平台層。
不好,只對關鍵的數進行判斷不然效能會受影響。
web開發常見問題整理
this指向問題 在方法中誰呼叫this就指向誰 在物件方法中呼叫 事件繫結 事件監聽 在建構函式或者建構函式原型物件中this指向建構函式的例項 在專案中this指向問題的常見示例 上面1 因為在setinterval中要設定this.setstate 而此時的this已經指向window而不是c...
web開發常見問題整理
this指向問題 在方法中誰呼叫this就指向誰 在物件方法中呼叫 事件繫結 事件監聽 在建構函式或者建構函式原型物件中this指向建構函式的例項 在專案中this指向問題的常見示例 上面1 因為在setinterval中要設定this.setstate 而此時的this已經指向window而不是c...
測試web產品的常見問題(面試和工作中都用得到)
作為測試人員,除了做好最基本的業務需求測試,還需要培養自己的職業敏感度。例如 1.拿到乙個呼叫第三方sdk的功能,首先你要根據需求完成測試,其次你要考慮到,呼叫sdk要多測試一下相容性,防止上線後有的機型呼叫不成功等。2.一些介面彈框提示,要注意換行,字型大小和相容,否則可能出現有的手機由於布局亂了...