前端面试题:网络攻击方案有哪些,自己有写过什么安全性方面的东西吗?

最新推荐文章于 2023-06-14 16:07:22 发布
最新推荐文章于 2023-06-14 16:07:22 发布
阅读量246 收藏
点赞数
分类专栏: html5 前端面试真题 前端技术文章 文章标签: 前端 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sdasadasds/article/details/128303959
版权
  1. iframe
  2. opener
  3. CSRF(跨站请求伪造)
  4. XSS(跨站脚本攻击)
  5. ClickJacking(点击劫持)
  6. HSTS(HTTP严格传输安全)
  7. CND劫持
    很难通过技术手段完全避免 XSS,但我们可以总结以下原则减少漏洞的产生:
  • 利用模板引擎 开启模板引擎自带的 HTML 转义功能。例如: 在 ejs 中,尽量使用
    <%= data %> 而不是 <%- data %>; 在 doT.js 中,尽量使用 {{! data } 而不是
    {{= data }; 在 FreeMarker 中,确保引擎版本高于 2.3.24,并且选择正确的
    freemarker.core.OutputFormat。
  • 避免内联事件 尽量不要使用
    onLoad=“onload(‘{{data}}’)”、onClick=“go(‘{{action}}’)” 这种拼接内联事件的写法。在 JavaScript 中通过 .addEventlistener() 事件绑定会更安全。
  • 避免拼接 HTML 前端采用拼接 HTML 的方法比较危险,如果框架允许,使用 createElement、
    setAttribute 之类的方法实现。或者采用比较成熟的渲染框架,如 Vue/React 等。
  • 时刻保持警惕 在插入位置为 DOM 属性、链接等位置时,要打起精神,严加防范。
  • 增加攻击难度,降低攻击后果 通过 CSP、输入长度配置、接口安全措施等方法,增加攻击的难度,降低攻击的后果。
  • 主动检测和发现 可使用 XSS 攻击字符串和自动扫描工具寻找潜在的 XSS 漏洞。
千锋HTML5大前端
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
端面试常问--计算机网络--网络攻击XSS与CSRF
zem
11-02 1195
XSS(Cross Site Scripting) XSS攻击全称跨站脚本攻击,之所以首字母是X,是为了区别于层叠样式表CSS 使用cookie,localStorage,sessionStorage时要注意是否有代码存在XSS注入的风险,攻击者在有XSS缺陷的页面会窃取用户的对应信息 XSS注入的方法 XSS注入实际上就是通过页面设计时的缺陷,利用浏览器对于某处代码的解析,让浏览器去执行恶意代码 在 HTML 中内嵌的文本中,恶意内容以 script 标签形成注入。 在内联的 JavaScript 中,
如何在React项目中使用ECharts图表库
sdasadasds的博客
11-16 9546
如果在原生的JS应用或者jQuery项目中,我们常用的方式就是直接去官网下载其核心js文件并导入我们的项目中使用,但是在React项目中,我们大可不必,由于React项目开发基于webpack做了二次封装,而webpack又是基于 Node.js的端项目部署打包工具,总而言之,React项目开发是在nodejs环境基础上,所以可以直接利用npm包管理器将第三方工具模块下载加入到项目中,并通过import引入对应的模块到相关页面中使用,不需要关心其中的细节。1、通过极坐标双数值轴绘制爱心。
端面试题---HTTP/HTTPS以及XSS攻击
前端卷王小白的博客
06-14 2064
端面试题,HTTP原理,HTTPS原理,HTTP与HTTPS的区别,XSS攻击
端面试--网络安全(网络攻击和防范措施)
m0_51123132的博客
06-21 1496
端面
Java后端真实面试题大全(有详细答案)--高频/真题
热门推荐
IT利刃出鞘的博客
11-24 13万+
本文分享Java后端真实高频面试题,有详细答案,保你稳过面试。题目包括:Java基础、多线程、JVM、数据库、Redis、Shiro、Spring、SpringBoot、MyBatis、MQ、ELK、SpringCloud、设计模式等。 本博客包含从简单到困难、从高频到低频的题目,适合所有Java求职者,包括:刚入门的、三年以内经验、三到五年经验、五到十年经验等。
端面试题之计算机网络类题集.zip
06-21
端面试中,计算机网络知识是必不可少的一部分,它涉及到数据传输、请求响应、安全性和性能优化等多个关键领域。本题集旨在帮助准备面试的端开发者深入理解计算机网络的基础概念及其在实际开发中的应用。 1. *...
最新大厂端面试题-面试指南攻击篇.docx
06-06
面试者应当对这些安全威胁有深入理解,以便在实际工作中确保应用的安全性。以下是一些常见的端安全攻击及其防御策略。 1. SQL注入: SQL注入是通过输入恶意SQL代码来欺骗服务器执行非预期的数据库操作。攻击者...
端基础、高级、进阶面试题
06-02
通过这些面试题,不仅可以帮助开发者准备面试,还能引导他们系统地学习端开发的各个层面,提升自己的专业素养和竞争力。在学习过程中,结合实际项目经验,将理论知识与实践相结合,更能加深理解和运用。
端面试题之工具类相关题集.zip
最新发布
06-21
本题集主要针对端面试中关于工具类的相关问题,旨在考察候选人在实际项目中的应用能力、代码复用意识以及对常见问题的解决策略。下面将对这一主题进行深入探讨。 1. **JavaScript 工具函数** - **数组操作**:如...
「2021」高频端面试题汇总之端性能优化.pdf
12-14
总的来说,CDN在端性能优化中扮演着关键角色,通过优化内容传输路径和提高安全性,为用户提供快速、稳定、安全的网络体验。对于开发者来说,理解和掌握CDN的工作原理和应用场景,对于提升网站性能和用户体验至关...
教你js生成二维码-QrCodeJS
sdasadasds的博客
09-02 8404
通过 QECode.js 可以非常方便的在web 页面中使用二维码。让我们在应用中便捷的使用,扩展了项目的适用范围。提升项目的用户体验,使我们的应用更加符合当下用户的适用习惯,增加用户的黏性。二维码又称QR Code,是一个近几年来移动设备上很流行的一种编码方式它比传统的一维码(条形码)能存更多的信息,也能表示更多的数据类型。按照一定规律排列组成的几何图形构成,它巧妙地利用构成计算机内部逻辑基础的“0”、“1”比特流的概念。人们的生活方方面面都离不开二维码,而且她也给人们带来了极大的便利。
深入了解word-break和 word-wrap的区别
sdasadasds的博客
06-13 7060
我们知道,本次内容主要是“深入了解 word-break:break-all和 word-wrap:break-word的区别”,这2个属性都是属于CSS3的属性,在现在很多文本模块用到很多,故此了这篇文章,和大家交流学习。首先我们来了解一下word-break这个属性,它的语法如下: 它的属性值一共有3个,其中的几个属性值的含义具体解释如下:normal:表示默认值,即默认的的换行规则。 break-all:表示强行换行,意思就是允许任意非文本间(比如网址类型的等)的单词断行。 keep-all: 也表
微信小程序接入直播
sdasadasds的博客
05-24 5815
文章目录微信小程序接入直播一.小程序配置1.添加/更改服务类目2.开通实时播放/录制音视频流二.云直播服务器1.云直播申请2.云直播配置2-1添加域名2-2获取推流地址2-3获取播放地址三.组件介绍1.live-pusher2.live-player四.代码实现1.页面结构2.离线检测 微信小程序接入直播 ​ 作者:kerwin 微信小程序开发如火如荼,很多公司都构建了自己的小程序。对于一些有产品的公司, 他们对于自己的小程序有直播需求,希望通过小程序直播获得流量变现。本文章就此需求,跟大家聊聊如何在
一篇文章带你了解Nodejs
sdasadasds的博客
07-08 5661
1.什么是node.js? node.js是一个基于Chrome v8引擎的javascript 运行环境。Node.js使用了一个事件驱动、非阻塞式 I/O的模型,使其轻量又高效。(由c++语言编的)Node.js的包管理器npm,成为世界上最大的开放源代码的生态系统。 简单说:编高性能网络服务器的javascipt工具包(用于js开发服务端程序) 单线程、异步、事件驱动。node.js是一个Javascript运行环境(runtime)Node.js 是一个让 JavaScript 运行在服务端的开
纯CSS实现轮播图
sdasadasds的博客
05-31 5433
纯CSS实现轮播图 各位小伙伴们,今天我们来学习一下轮播图。轮播图是我们网页当中经常出现的一个效果,基本上各个网站上都会有这个效果。那么一提到轮播图大家脑子里的第一反应是不是用js来实现呀。 那今天这篇文章呢我们就不按常理出牌,不用js来轮播图,而是利用纯css实现轮播图,听起来是不是很厉害的样子,纯css竟然能出轮播图的效果,那么到底应该怎么呢?接下来废话不多说,上代码。 最后实现的效果: html代码 <!-- slide是轮播图区域 --> <div class="
端,后端,全栈哪个好找工作?
sdasadasds的博客
10-10 4939
也就是说,我们不可能轻轻松松就变成【真·端】或【真·后端】,两者背后都是需要付出极大的耐心去付出、去成长。通过上面分析我们就会感觉到,这个问题本质不在于哪个好找工作,本质在于,我们的精力到底允许我们达到哪一步?意思就是说,如果这三者你都达到了真正意义上的企业用人标准,那毫无疑问【真·全栈】是最好找工作的。所以,与其站在十字路口不停徘徊,更好的做法是选一个自己感兴趣的方向,拿起键盘先干起来。只有我们先变成了【真·端】、【真·后端】,我们才有可能变成【真·全栈】。端很溜,后端很溜,这是【真·全栈】
端基础知识点:JS中的参数传递详解
sdasadasds的博客
08-05 4731
如图所示,18的空间是真正存储数据的空间(new出来的堆空间),20是存储真正数据所在空间的地址。(如下图)假设实参a的地址18,实参b的地址为19。形参x和y的值确实进行了交换,但是由于形参与实参是不同的空间,所以形参x,y的改变,是无法影响到实参a,b的。先说结论,JS只有值传递,没有引用传递。地址就是内存中的一个编号,等价于我们常说的引用ID(引用ID是优化后的地址)。有,当传递的实参为引用类型时,可以通过形参改变实参所指向空间的数值。单向传递,只能将实参的数值传递给形参,不能将形参的值传递给实参。.
Vue实现全局异常处理的几种方案
sdasadasds的博客
06-30 4078
在开发组件库或者插件,经常会需要进行全局异常处理,从而实现:那么如何实现上面功能呢?本文先简单实现一个异常处理方法,然后结合 Vue3 源码中的实现详细介绍,最后总结实现异常处理的几个核心。本文 Vue3 版本为 3.0.11一、端常见异常对于端来说,常见的异常比较多,比如:等等最常用的比如:通过 window.onerror文档[2]可知,当 JS 运行时发生错误(包括语法错误),触发 window.onerror(): 函数参数:若该函数返回true,则阻止执行默认事件处理函数。另外,我们也经常会使
端面试必备:浏览器安全与XSS攻击深度解析
"该资源是2021年的端面试题汇总,重点聚焦于浏览器原理,其中详细讨论了XSS攻击的相关知识,包括攻击的概念、类型以及具体的攻击步骤。" 在端开发中,理解浏览器原理及其相关的安全性问题至关重要。XSS(Cross-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值