「2024」打算跳槽涨薪，必问面试题及答案——WEB 安全

羊羊要坚持

于 2024-05-15 11:28:57 发布

阅读量290

点赞数 4

分类专栏：程序员文章标签：跳槽前端安全

本文链接：https://blog.csdn.net/2301_76379381/article/details/138901612

版权

程序员专栏收录该内容

295 篇文章 0 订阅

订阅专栏

存储型 XSS 是提交的 XSS 代码存储到服务器的数据库、内存或文件系统内，下次请求目标页面时不再提交 XSS 代码。常见于用户输入的地方。

文档型 XSS 不会经过服务器，作为中间人的角色，在数据传输过程中劫持到网络数据包，然后修改里面的 html 文档。

XSS 危害较多，常见的是盗用账号、盗取商业价值信息等。所以我们就需要做一定的防御措施来保障用户的权益，针对以上三种攻击方式，对应的也有三种防御措施，分别为：

客户端和服务端进行转义编码

转义编码后编辑器又会给你重新处理，不知道的同学可以自己试试！

过滤掉危险节点，如 script、style、link、iframe 。
利用 CSP

Content Security Policy 内容安全策略，可以规定当前网页可以加载的资源的白名单，从而减少网页受到 XSS 攻击的风险。

3、CSRF 怎么防御知道吗？

CSFR 是 cross site request forgery ，中文名叫跨站请求伪造。也被称为：one click attack/session riding，缩写为：CSRF / XSRF。

CSRF 主要是攻击者盗用用户的身份，以用户的名义进行恶意操作，容易造成个人隐私泄露以及财产安全问题，所以 CSRF 的防御措施不能少，可以从服务端和客户端两方面着手，它的防御方式有以下几种：

检查 http 头部的 referer 信息
使用一次性令牌
关键操作使用 POST 请求
使用验证码

具体的防御措施内容为：

1>、检查 http 头部的 referer 信息

referer 包含在 http 请求头内，表示请求接口的页面来源，服务端通过检查 referer 信息，发现来源于外域时拦截请求，阻止不明请求，一定程度上可以减少攻击。

2>、使用一次性令牌

使用一次性令牌做身份标识，黑客是无法通过跨域拿到一次性令牌的，所以服务端可以通过判断是否携带一次性令牌，可以排除一部分非法操作者。

3>、关键操作使用 POST 请求

敏感操作使用 POST 请求，主要是为了防止用户敏感信息出现在 url 中，容易泄露重要信息。

4>、使用验证码

CSRF 攻击基本都是出现在用户不知道的情况下，在用户无感的情况下偷偷发送网络请求，如果使用验证码，需要每次进行重要操作时进行验证，从而简单有效的防御了 CSRF 攻击。

4、SQL注入是啥？

所谓的 SQL 注入就是把 SQL 语句命令插入到 web 表单提交或页面请求的查询字符串，最终达到服务器执行恶意 SQL 命令。它是一种常见的 WEB 安全漏洞，攻击者会利用这个漏洞，可以访问或修改数据，利用潜在的数据库漏洞进行攻击。

SQL 注入可以分为以下几例：

数字型注入
字符型注入
其他类型

SQL 注入的防范措施：

添加正则验证和过滤。凡是用户输入的地方，都不要信任用户的输入，需要对用户输入的内容进行正则表达式验证。
敏感字段要加密。机密敏感的信息不能直接存放，需要加密或 hash 掉敏感的信息。
不要使用管理员权限连接数据库。为每个应用使用单独的权限进行控制有限的数据库连接，永远不要使用管理员权限连接数据库。
不能动态拼接SQL语句。可以使用参数化的 SQL 或者直接使用存储过程进行数据查询存取，但是不要动态拼接。

5、DDOS 攻击

DDOS 是 Distributed Denial of Service 的缩写，翻译为中文是分布式拒绝服务。DDOS 攻击指的是借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动 DDOS 攻击，从而成倍的提高拒绝服务攻击的威力。该攻击方式主要利用目标系统网络服务功能缺陷或者直接消耗其系统资源，使得该目标系统无法提供正常的服务。

DDOS 攻击通过大量合法的请求占用大量资源，以达到瘫痪网络的目的，具体的表现形式有几下几种：

最后

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数初中级Android工程师，想要提升技能，往往是自己摸索成长，自己不成体系的自学效果低效漫长且无助。

因此收集整理了一份《2024年Web前端开发全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Android开发知识点！不论你是刚入门Android开发的新手，还是希望在技术上不断提升的资深开发者，这些资料都将为你打开新的学习之门！

如果你觉得这些内容对你有帮助，需要这份全套学习资料的朋友可以戳我获取！！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！
些资料都将为你打开新的学习之门！**

如果你觉得这些内容对你有帮助，需要这份全套学习资料的朋友可以戳我获取！！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！

羊羊要坚持

关注

4
点赞
踩
9

收藏

觉得还不错? 一键收藏
0
评论
「2024」打算跳槽涨薪，必问面试题及答案——WEB 安全

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。深知大多数初中级Android工程师，想要提升技能，往往是自己摸索成长，自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Web前端开发全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Android开发知识点！
复制链接

扫一扫