Controles de aplicación Web

Me podrían ampliar los controles que tiene evolution que permite publicar en internet la aplicación (me los está solicitando un cliente). Entre los que pensaba colocar están (favor de indicar si aplican):

1. La aplicación no realiza envío de información sensible (p.e.: usuario, password, pin, números de cuenta, números de tarjeta, nombres) a través de la URL
2. La aplicación impide el uso de la opción "Autocompletar" (Autocomplete) del usuario o password
3. La aplicación utiliza un ID de sesión generado de forma aleatoria
4. La aplicación provee de un link para hacer "logout" el cual genera una destrucción de la sesión del lado del servidor y la limpieza de cualquier cookie de sesión
5. Las cookies generadas por el sitio no contienen información sensible (Usuario, rol, password, información del sistema)
6. Existen validaciones de entradas de datos para evitar que se realice inyección de código (SQL, OS, y LDAP)
7. Los archivos de configuración del sitio no están disponibles vía web
8. No hay información sensible incluida en el código HTML, Javascript o en comentarios (nombres de desarrolladores, información del sistema, URLs para páginas de administración, etc.)
9. Existen validaciones de entradas de datos para evitar que se realice XSS (Cross Site Scripting) Cumple con las prácticas de Open Web Application Security Project (OWASP)
10. Evita manipulación de parámetros (Parameter Manipulation) ? (Ref: OWASP - https://www.owasp.org/index.php/Unvalidated_Input)
11. Evita la vulnerabilidad de "Authentication Bypass" via "assumed-immutable data"?. (Ref: OWASP - https://www.owasp.org/index.php/Authentication_Bypass_via_Assumed-Immutable_Data)
12. Control de acceso controlado solo por la capa de presentación: Ref: OWASP - https://www.owasp.org/index.php/Access_control_enforced_by_presentation_layer)
13. obtención y uso del ID o de parámetros que identifican una sesión de usuario, para acceder a la sesión del usuario desde otra instancia. (Ref: OWASP https://www.owasp.org/index.php/Session_fixation)
14. El ID de sesión debe ser de al menos 128bits (Ref: OWASP https://www.owasp.org/index.php/Top_10_2010-A3)
15. ¿La aplicación verifica que no se accedan recursos o URLs restringidos para el usuario basada en los privilegios que este tenga? (Ref: OWASP - https://www.owasp.org/index.php/Top_10_2010-A8)
16. Al utilizar las funcionalidades de "forward" y "redirect" para redireccionar al usuario a otras páginas, la aplicación valida que los datos recibidos son válidos y que el usuario está autorizado para acceder a la página destino(Ref: OWASP - https://www.owasp.org/index.php/Top_10_2010-A10)