From c479de175acbf59529e6dcb27237697c3b80005d Mon Sep 17 00:00:00 2001
From: Wu Jie <958340585@qq.com>
Date: Wed, 10 Aug 2016 15:48:58 +0800
Subject: [PATCH] add  explanation

---
 security-checklist-zh.md | 2 +-
 1 file changed, 1 insertion(+), 1 deletion(-)

diff --git a/security-checklist-zh.md b/security-checklist-zh.md
index d400163..825006c 100644
--- a/security-checklist-zh.md
+++ b/security-checklist-zh.md
@@ -13,7 +13,7 @@
 - [ ] 当解析用户注册/登陆的输入时，过滤 javascript://、 data:// 以及其他 CRLF 字符.
 - [ ] 使用 secure/httpOnly cookies.
 - [ ] 移动端使用 `OTP` 验证时，当调用 `generate OTP` 或者 `Resend OTP` API 时不能把 OTP（One Time Password） 直接返回。（一般是通过发送手机验证短信，邮箱随机 code 等方式，而不是直接 response）  
-- [ ] 限制单个用户 `Login`、`Verify OTP`、 `Resend OTP`、`generate OTP` 等 API 的调用次数，使用 Captcha 等手段防止暴力破解.  
+- [ ] 限制单个用户 `Login`、`Verify OTP`、 `Resend OTP`、`generate OTP` 等 API 的调用次数，使用 Captcha(验证码) 等手段防止暴力破解.  
 - [ ] 检查邮件或短信里的重置密码的 token，确保随机性（无法猜测）  
 - [ ] 给重置密码的 token 设置过期时间.
 - [ ] 重置密码成功后，将重置使用的 token 失效.