Toda aplicação, e em especial as aplicações web, deve apresentar maneiras de alocar ou retirar permissões de seus usuários, através de mecanismos de controle de acesso, autenticação e autorização. No caso das aplicações web, algumas precauções são necessárias, tais como:

1. Obrigação de acessar as páginas de controle de acesso: muitas aplicações web obrigam o usuário a acessar uma página onde este deve se identificar e digitar uma senha antes de ter acesso ao real conteúdo da aplicação. A aplicação deve ser projetada de maneira a que não seja possível acessar o conteúdo da aplicação sem passar pelas páginas de controle de acesso mesmo que a URL das páginas internas seja conhecida.
2. Permissões dos arquivos: muitos servidores web usam os mecanismos de controle de acesso do sistema operacional onde executam para controlar as permissões de cada usuário com relação às páginas e demais arquivos que fazem parte da aplicação. Se isto for usado, apenas os arquivos que devem ser apresentados como parte da aplicação devem ter a permissão de leitura do sistema operacional habilitada. A maior parte dos diretórios não deve ter permissão de leitura e apenas alguns poucos arquivos devem ser marcados como executáveis.
3. Cache do cliente: muitos usuários acessam aplicações web de computadores compartilhados. Os browsers normalmente armazenam localmente (cache) cópias das páginas acessadas. Como estas cópias poderiam ser lidas por pessoas não autorizadas, a aplicação web deve usar os mecanismos disponíveis, como headers HTTP e tags META para tentar evitar que as páginas fiquem disponíveis localmente.