HTTP和web安全常见面试题

最新推荐文章于 2024-08-24 10:30:00 发布
最新推荐文章于 2024-08-24 10:30:00 发布
阅读量3.9k 收藏 29
点赞数 5
分类专栏: HTTP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiaojsun/article/details/93857498
版权

1.web安全和攻击你知道

Reflected XSS(基于反射的XSS攻击)

这种攻击主要依靠 站点服务端 返回脚本,在客户端 触发执行 从而发起Web攻击。
攻击的例子
1、当你在亚马逊 搜索图书的时候 搜不到书的时候显示提交的名称 
2、在搜索框搜索内容,填入“<script>alert('handsome boy')</script>”, 点击搜索
3、如果前端页面没有对 返回的数据进行处理 就会直接弹出alert 
也就是直接执行了用户在搜索框里边的脚本
4、 进而可以构造获取用户cookies的地址,通过QQ群或者垃圾邮件,
防御这种攻击的两种方法:
1、前端页面显示服务器端返回来的数据的时候 不仅是标签内容需要过滤、转义,就连属性值也都可能需要。让服
务器返回来的非法js脚本 没有办法到达前端的浏览器
2、后端接收请求时,验证请求是否为攻击请求,攻击则屏蔽。

2. 常见状态码

3. http与https的区别

 

最低0.47元/天 解锁文章
jiaojsun
关注
专栏目录
web前端常见面试题
JackieDYH的博客
06-13 672
优点: 1.上手简单,位置固定 缺点: 一个功能往往需要在不同的vue配置项中定义属性和方法,比较分散,项目小还好,清晰明了,但是项目大了后,一个methods中可能包含很多个方法,往往分不清哪个方法对应着哪个功能,而且当你想要新增一个功能的候你可能需要在 data,methods,computed,watch中都要写一些东西,但是这个候每个选项里面的内容很多你需要上下来回的翻滚,特别影响效率。这无疑是1号能够获取最大收益的方案了!分配方案可写成(97,0,1,2,0)或(97,0,1,0,2)。
Java(web)项目安全漏洞及解决方式【面试+工作】
热门推荐
Java帮帮
05-13 2万+
Java(web)项目安全漏洞及解决方式【面试+工作】一.安全性问题层次关系大家经常听到看到很多很多有关安全性方面的信息,可以说形形色色,对于在网络安全方面不太专业的同志来说,有点眼花缭乱,理不出头绪。在这里,我来帮大家整理一下。  以我个人多年来从事Web安全方面的工作经验及国外一些权威安全机构对Web安全的层次性的理解,我们通常把它分为三个层次:1.网络安全。如防火墙、路由器、网络结构等相关...
网络安全面试题分享
edu_aqniu的博客
05-21 1749
1.什么是防火墙? 答:它是为网络设计的安全系统。防火墙设置在监视和控制网络流量的任何系统或网络的边界上。防火墙通常用于保护系统或网络免受恶意软件,蠕虫和病毒的侵害。防火墙还可以防止内容过滤和远程访问。 2.linux系统中的计划任务crontab配置文件中的五个星星分别代表什么? 答:分,,日,月,星期几 3.解释暴力攻击。怎么预防呢? 找出正确的密码或PIN码是一种反复试验的方法。黑客反复尝试使用所有凭据组合。在许多情况下,暴力攻击是自动进行的,其中软件自动运行以使用凭据登录。..
文件上传漏洞(全网最详细)
ZL_1618的博客
08-02 388
自从学完文件上传后,寻思总结一下,但一直懒惰向后推迟,最近要准备面试了,就趁此机写一下。文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑的不够安全,则导致严重的后果。这种攻击方式是最为直接和有效的,所以我们需要思考的是如何绕过检测和过滤。
「自检清单」再来一打Web安全面试题
童欧巴的博客
03-24 312
CIA三元组、XSS攻击是如何产生的?XSS有哪几种类型、反射型 XSS (也叫非持久型)基于 DOM 的 XSS、存储型 XSS (也叫持久型 XSS)、XSS攻击如何进行防护?XSS攻击案例、什么是CSRF攻击?CSRF攻击和XSS攻击有什么区别?如何防范CSRF攻击?对称加密算法、非对称加密算法、HTTPS的实现原理
你想学的黑客(攻击)技术全在这了,一篇打包带走!
MachineGunJoe666
07-30 1359
前言: 大家好,今天给大家介绍一下,Web安全领域常见的一些安全问题。 1. SQL 注入 SQL注入攻击的核心在于让Web服务器执行攻击者期望的SQL语句,以便得到数据库中的感兴趣的数据或对数据库进行读取、修改、删除、插入等操作,达到其邪恶的目的。 而如何让Web服务器执行攻击者的SQL语句呢?SQL注入的常规套路在于将SQL语句放置于Form表单或请求参数之中提交到后端服务器,后端服务器如果未输入安全校验,直接将变量取出进行数据库查询,则极易中招。 举例如下: 对于一个根据用户ID获取用户信息的接.
【面试篇】寒冬求职之你必须要懂的Web安全
cpongo11的博客
05-13 211
随着互联网的发展,各种Web应用变得越来越复杂,满足了用户的各种需求的同,各种网络安全问题也接踵而至。作为前端工程师的我们也逃不开这个问题,今天一起看一看Web前端有哪...
「网络安全」面试常见web 网络安全知识整理
秋天,黄叶坠地,凉风有信。
03-29 6782
文章目录一、XSRF 攻击1、输入 cookie samesite 选项2、httpOnly3、使用Token(主流)二、XSS 攻击XSS攻击的危害原因解析XSS 攻击分类(1). 反射性XSS攻击 (非持久性XSS攻击)(2). 持久性XSS攻击 (留言板场景)(3). 基于 Flash 的跨站 XSS(4). 未经验证的跳转 XSS**修复漏洞方针**三、SQL 注入(1). SQL注入攻击的总体思路(2). SQL注入攻击实例(3). 应对方法四、DDos 攻击DDos 预防 **( 没有彻底根治的
Web 常见面试题
10-04
### Web常见面试题详解 #### 1. HTTP协议的理解与常见状态码 ...通过以上对Web领域常见面试题的解答,我们可以更深入地了解这些概念和技术背后的基本原理及其应用场景,这对于面试者来说是非常有价值的。
2021Web安全面试题大全(附答案详解)看完稳了
m0_59991869的博客
10-13 1万+
人人都有一个进大厂的梦想,而进大厂的门槛也可想而知,所以这里整理了一份安全大厂的面试大全,看完文章如果对你有帮助的话希望能够点赞+收藏+关注!感谢! 本篇文章对于学习Web安全的朋友来说应该是目前最全面的面试题合集了,后续也陆续更新其他大厂的面试题目和知识点。另外我还整理了许多关于Web安全的学习资料+工具包等等,需要的点击Web安全学习 一、渗透测试面试题,包含大量渗透技巧 1.拿到一个待检测的站,你觉得应该先什么? a、信息收集 1、获取域名的whois信息,获取注册者邮箱姓名电话等,丢
web安全基础知识练习
01-21
web安全
web常见面试题
lxn_zyl的博客
08-19 830
面试题
web安全面试题收集
一个安全研究员
12-27 9906
比较老的面试题了~
Web安全面试题(一)-含解答
qq_30384029的博客
11-08 1万+
Web安全面试题-含解答DomainAjaxSQLiXSSPHPCSRFHTML5JAVA Domain 1、解释一下同源策略 源:协议、域名、端口 同源:若地址中的协议、域名、端口都相同,即为同源。反之,有一者不同即为不同源。 同源策略:为浏览器的一个安全功能,不同源的客户端脚本没有明确授权的情况下,无法读写对方的资源。 2、哪些东西是可以同源获取的? 页面的链接、重定向、表单提交 跨域资...
「自检清单」再来一打Web安全面试题(面试向)
前端下午茶
02-04 409
从胡子的长度和忧郁的眼神我察觉到,面前坐着的这位面试官应该有点东西,浑身上下流露着打过 CTF 的气场。我像以往一样,准备花3分钟的间进行自我介绍。在此期间,面试官面无表情但很有耐心的听...
web前端培训:WEB 安全相关面试题分享
weixin_45695430的博客
03-09 373
1、SQL 注入 SQL注入攻击的核心在于让Web服务器执行攻击者期望的SQL语句,以便得到数据库中的感兴趣的数据或对数据库进行读取、修改、删除、插入等操作,达到其邪恶的目的。 而如何让Web服务器执行攻击者的SQL语句呢?SQL注入的常规套路在于将SQL语句放置于Form表单或请求参数之中提交到后端服务器,前端培训后端服务器如果未输入安全校验,直接将变量取出进行数据库查询,则极易中招。 举例如下: 对于一个根据用户ID获取用户信息的接口,后端的SQL语句一般是这样: select.
Web安全面试题集合(附参考答案)
最新发布
xnxqwzy的博客
08-24 795
网络安全这一行,如果能进大厂,自然就有了薪资保障。大厂的竞争激烈,门槛自然也不低。想进入一个好的企业,第一步就是面试。本文列举了比较全面的Web安全面试题,供大家参考!
Web安全常见面试题总结
jiet07的博客
09-20 3561
SQL注入的原理 SQL注入的分类—尽可能多说 SQL注入的防御 反射性型XSS和DOM型XSS的区别 XSS和UXSS的区别 SSRF的利用方式 SSRF和Gophers协议 护网设备,EDR安全设备---- 奇安信终端安全响应系统(EDR)是传统终端安全产品在高级威胁检测和响应方面的扩展和补充,通过威胁情报、攻防对抗、机器学习等方式,从主机、网络、用户、文件等维度来评估企业网络中存在的未知风险,以行为引擎为核心,利用威胁情报,缩短威胁从发现到处置的间,有效降低业务损失,增加可见性,提升整体安全能力。.
webserver常见面试题
09-03
1. 什么是 Web 服务器? 2. 常见Web 服务器软件有...10. 你是否了解常见Web 安全漏洞和攻击方式,比如跨站脚本攻击(XSS)和跨站请求伪造(CSRF)? 请注意,这些问题仅供参考,面试中可能有其他相关问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值