移动应用应对48小时内连续登录失败次数达到设定值（应在1-10次之内）的用户账号进行锁定，至少锁定20分钟或由授权的管理员解锁，且不可绕过（）

A.在Web应用认证中，可以通过验证码或者多次连续尝试登录失败后锁定帐号或IP来防暴力破解

B.如采用多次连续尝试登录失败后锁定帐号或IP的方式，需支持连续登录失败锁定策略的“允许连续失败的次数”可固定为一个合理的次数

C.数据在输出到客户端前必须先进行HTML编码，以防止执行恶意代码、跨站脚本攻击

D.用户产生的数据要在服务端进行校验

A.应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别；

B.应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用；

C.应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；

D.应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数。

A.登录失败达到指定次数后，在手机前端将该账号锁定

B.登录失败达到指定次数后，在后台数据库将该账号锁定

C.登录达到指定次数后，需要发送短信验证码进行登录

D.登录失败达到指定次数后，锁定该手机，禁止使用该APP

A.2

B.3

C.4

D.5