前端面试知识点大全——web安全篇

最新推荐文章于 2024-04-24 11:30:00 发布
最新推荐文章于 2024-04-24 11:30:00 发布
阅读量1.7k 收藏 13
点赞数
分类专栏: 前端面试知识点大全 前端面试知识点大全 文章标签: web安全 前端web安全知识点 SQL注入 XSS攻击 CSRF攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_36521655/article/details/84189698
版权

总纲:前端面试知识点大全

目录

1.xss(跨站脚本攻击)

1.1 概念

1.2 防御手段

2.csrf(跨站请求伪造)

2.1 概念

2.2 CSRF防御

3. SQL注入

3.1 概念

3.2 防御手段

4.DDOS

4.1 概念

4.2 例子

4.3 解决方案

1.xss(跨站脚本攻击)

1.1 概念

跨站脚本攻击(Cross-Site Scripting,XSS)是指通过存在安全漏洞的Web 网站注册用户的浏览器内运行非法的 HTML 标签或 JavaScript 进行的一种攻击。动态创建的 HTML 部分有可能隐藏着安全漏洞。就这样,攻击者编写脚本设下陷阱,用户在自己的浏览器上运行时,一不小心就会受到被动攻击。

跨站脚本攻击有可能造成以下影响:1、利用虚假输入表单骗取用户个人信息;2、利用脚本窃取用户的 Cookie 值,被害者在不知情的情况下,帮助攻击者发送恶意请求;3、显示伪造的文章或图片。

例如在动态生成 HTML 处发生,input、textarea等

1.2 防御手段

将用户所提供的内容进行过滤。

1、对于输入:检测是否有script.img.等标签

2、对于输出:转义字符<转义成&lt; >转义成&gt;

3、设置cookie的httponly属性为true,则js无法通过document.cookie访问

4、又或者使用<script>或者 <img>,添加src,访问黑客的服务器,盗取cookie

5、或者直接<script>加上JS代码,修改form表单的action和method,甚至表单信息。

 

2.csrf(跨站请求伪造)

2.1 概念

跨站点请求伪造(Cross-Site Request Forgeries,CSRF)攻击是指攻击者通过设置好的陷阱,强制对已完成认证的用户进行非预期的个人信息或设定信息等某些状态更新,属于被动攻击。

跨站点请求伪造有可能会造成以下等影响:1、利用已通过认证的用户权限更新设定信息等;2、利用已通过认证的用户权限购买商品;3、利用已通过认证的用户权限在留言板上发表言论

要完成一次CSRF攻击,受害者必须依次完成两个步骤:

1、登录受信任网站A,并在本地生成cookie

2、在不登出A的情况下,访问危险网站B(网站B可以利用A中的cookie进行某些操作)

例子:

 

CSRF攻击的主要目的是让用户在不知情的情况下攻击自己已登录的一个系统,类似于钓鱼。如用户当前已经登录了邮箱,或bbs,同时用户又在使用另外一个,已经被你控制的站点,我们姑且叫它钓鱼网站。这个网站上面可能因为某个图片吸引你,你去点击一下,此时可能就会触发一个js的点击事件,构造一个bbs发帖的请求,去往你的bbs发帖,由于当前你的浏览器状态已经是登陆状态,所以session登陆cookie信息都会跟正常的请求一样,纯天然的利用当前的登陆状态,让用户在不知情的情况下,帮你发帖或干其他事情。

2.2 CSRF防御

1、通过 referer(由服务器做检查)、token 或者 验证码 来检测用户提交。(token由客户端生成,事先与服务器商量,使用相同的salt进行加密,,然后服务器对token进行解密。添加到url中或者cookie中都行,因为每次通信的token不同)

2、尽量不要在页面的链接中暴露用户隐私信息。

3、对于用户修改删除等操作最好都使用post 操作 。

4、避免全站通用的cookie,严格设置cookie的域(domain)。

 

3. SQL注入

3.1 概念

SQL 注入(SQL Injection)是指针对 Web 应用使用的数据库,通过运行非法的 SQL 而产生的攻击。该安全隐患有可能引发极大的威胁,有时会直接导致个人信息及机密信息的泄露。

Web 应用通常都会用到数据库,当需要对数据库表内的数据进行检索或添加、删除等操作时,会使用 SQL 语句连接数据库进行特定的操作。如果在调用 SQL 语句的方式上存在疏漏,就有可能执行被恶意注入(Injection)非法 SQL 语句。

SQL 注入攻击有可能会造成以下等影响:1、非法查看或篡改数据库内的数据;2、规避认证;3、执行和数据库服务器业务关联的程序等

通常在URL上进行修改,因为后台服务器检测不全,会直接执行URL后的search(?后面的)。

SQL中 单行注释-- 多行注释/**/

比如:

请求:http://example.com/search?q=name

SQL:SELECT *FROM TABLE WHERE author=‘name’ and flag = 1

SQL注入:http://example.com/search?q=name‘--

如果未检测:SELECT *FROM TABLE WHERE author=‘name’--’ and flag = 1

3.2 防御手段

1)正则表达式

2)字符串过滤

 

4.DDOS

4.1 概念

分布式拒绝服务攻击。简单说就是发送大量请求是使服务器瘫痪。

4.2 例子

1. SYN Flood ,简单说一下tcp三次握手,客户端先服务器发出请求,请求建立连接,然后服务器返回一个报文,表明请求以被接受,然后客户端也会返回一个报文,最后建立连接。那么如果有这么一种情况,攻击者伪造ip地址,发出报文给服务器请求连接,这个时候服务器接受到了,根据tcp三次握手的规则,服务器也要回应一个报文,可是这个ip是伪造的,报文回应给谁呢,第二次握手出现错误,第三次自然也就不能顺利进行了,这个时候服务器收不到第三次握手时客户端发出的报文,又再重复第二次握手的操作。如果攻击者伪造了大量的ip地址并发出请求,这个时候服务器将维护一个非常大的半连接等待列表,占用了大量的资源,最后服务器瘫痪。

2. CC攻击,在应用层http协议上发起攻击,模拟正常用户发送大量请求直到该网站拒绝服务为止。

4.3 解决方案

1. 最直接的方法增加带宽。但是攻击者用各地的电脑进行攻击,他的带宽不会耗费很多钱,但对于服务器来说,带宽非常昂贵。

2. 云服务提供商有自己的一套完整DDoS解决方案,并且能提供丰富的带宽资源

 

随风丶逆风
关注
  • 0
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【知识总结】有关前端安全的面试题总结
椰卤工程师的个人博客
09-21 2202
你了解哪些前端安全相关的知识?或者名词? xss csrf https csp:内容安全策略,可以禁止加载外域代码,禁止外域提交等等 hsts:强制客户端使用https与服务端建立连接 x-frame-options:控制当前页面是否可以被嵌入到iframe中 referrer-policy:控制referer的携带策略 能稍微详细的聊一下xss吗 cross-site scripting,跨站脚本,通常简称为xss。 说白了就是攻击者想尽一切办法将可执行代码注入到网页中,而恶意代码未经过过滤,与网站正
前端安全——最新,网络安全高级面试题及答案
2401_84254057的博客
04-11 865
笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新**
web前端面试——浏览器、网络和安全
wangluoanquan111的博客
04-24 792
重绘(repaint):当元素的某些属性发生变化,这些属性又只影响元素的外观和风格,而不改变元素的布局、大小比如颜色、背景。此时触发的浏览器行为称作重绘。回流(reflow):回流也叫重排,当元素的布局、大小规模和显示方式发生改变时,触发的浏览器行为叫回流。而且,每个页面都会在第一次加载时触发回流。注意:回流必将引起重绘,而重绘不一定伴随回流。同时,回流对性能的影响要大于重绘。
Web安全面试题(一)-含解答
热门推荐
qq_30384029的博客
11-08 1万+
Web安全面试题-含解答DomainAjaxSQLiXSSPHPCSRFHTML5JAVA Domain 1、解释一下同源策略 源:协议、域名、端口 同源:若地址中的协议、域名、端口都相同,即为同源。反之,有一者不同即为不同源。 同源策略:为浏览器的一个安全功能,不同源的客户端脚本没有明确授权的情况下,无法读写对方的资源。 2、哪些东西是可以同源获取的? 页面的链接、重定向、表单提交 跨域资...
web网络安全基础阶段一】
2301_76261573的博客
03-31 854
介绍了web网络安全的必要的基础知识,如HTML,CSS,JavaScript以及Web APP整个流程的介绍和HTTP协议的讲解。
网络安全常见面试题--含答案
A_991128a的博客
07-26 575
跨站点脚本攻击,指攻击者通过篡改网页,嵌入恶意脚本程序,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。跨站点请求伪造,指攻击者通过跨站请求,以合法的用户的身份进行非法操作。可以这么理解CSRF攻击攻击者盗用你的身份,以你的名义向第三方网站发送恶意请求。CRSF能做的事情包括利用你的身份发邮件,发短信,进行交易转账,甚至盗取账号信息。文件上传漏洞,指的是用户上传一个可执行的脚本文件,并通过此脚本文件获得了执行服务端命令的能力。
WEB前端面试——常见CSS知识点
06-30
WEB前端面试——常见CSS知识点 CSS是一种标记语言,用于描述网页的样式和布局。以下是常见的CSS知识点: 一、CSS盒子模型 CSS盒子模型分为标准盒模型(content-box)和怪异盒模型(border-box)。标准盒模型的...
2022最新Web前端经典面试试题及答案——CSS.docx
07-08
"2022最新Web前端经典面试试题及答案——CSS" 本资源摘要信息将对 CSS 相关知识点进行详细的解释和总结。 一、BFC(Block Formatting Context)的理解及作用 BFC 是 Block Formatting Context 的缩写,指的是...
前端大厂最新面试题-前端安全.docx
06-06
本文档总结了前端安全的相关知识点,涵盖了XSS、CSRF、CSP等多方面的内容。下面是对标题和描述中所说的知识点的详细说明: 一、XSS(Cross-Site Scripting) * 定义:XSS是一种经常出现在web应用中的计算机安全...
最新前端面试题
11-08
最新前端面试题 基于提供的文件信息,我们可以总结出以下几个关键知识点: 1. 组件封装的目的是为了重用、提高开发效率和代码质量,具有低耦合、单一职责、可复用性和可维护性等特点。 2. JavaScript 异步加载的...
整理一些最近经常遇到的前端面试题
08-30
本文总结了三十道前端面试题,涵盖了javascript、jquery、html、css等多个方面的知识点。下面将对每个知识点进行详细的解释: 1. 标签属性中title和alt的区别: title是设置鼠标移动到图片上时显示的内容,而alt是...
web安全基础知识
03-27
【面试题】2023年前端最新面试题-web安全
aSuncat
01-17 974
Service worker提供了fetch事件可供监听,当页面发出请求的时候,会先过fetch方法,你可以在这里定义任何你需要的缓存策略,比如请求成功后,将结果存入caches。新闻模块的接口,每次有返回的时候,都存入localstorage中,以接口路径为key,返回数据为value,当新闻接口请求失败的时候先从localstorage中读上次成功请求时候的数据,展示出来。1、永远不要信任用户的输入,要对用户的输入进行校验,可以通过正则表达式,或限制长度,对单引号和双"-"进行转换等。
你想学的黑客(攻击)技术全在这了,一打包带走!
MachineGunJoe666
07-30 1330
前言: 大家好,今天给大家介绍一下,Web安全领域常见的一些安全问题。 1. SQL 注入 SQL注入攻击的核心在于让Web服务器执行攻击者期望的SQL语句,以便得到数据库中的感兴趣的数据或对数据库进行读取、修改、删除、插入等操作,达到其邪恶的目的。 而如何让Web服务器执行攻击者的SQL语句呢?SQL注入的常规套路在于将SQL语句放置于Form表单或请求参数之中提交到后端服务器,后端服务器如果未做输入安全校验,直接将变量取出进行数据库查询,则极易中招。 举例如下: 对于一个根据用户ID获取用户信息的接.
Web安全之常见面试题总结
jiet07的博客
09-20 3007
SQL注入的原理 SQL注入的分类—尽可能多说 SQL注入的防御 反射性型XSS和DOM型XSS的区别 XSS和UXSS的区别 SSRF的利用方式 SSRF和Gophers协议 护网设备,EDR安全设备---- 奇安信终端安全响应系统(EDR)是传统终端安全产品在高级威胁检测和响应方面的扩展和补充,通过威胁情报、攻防对抗、机器学习等方式,从主机、网络、用户、文件等维度来评估企业网络中存在的未知风险,以行为引擎为核心,利用威胁情报,缩短威胁从发现到处置的时间,有效降低业务损失,增加可见性,提升整体安全能力。.
前端面试题(五)安全
weixin_34112030的博客
12-03 290
XSS 跨网站指令码(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程式的安全漏洞攻击,是代码注入的一种。它允许恶意使用者将程式码注入到网页上,其他使用者在观看网页时就会受到影响。这类攻击通常包含了 HTML 以及使用者端脚本语言。 XSS 分为三种:反射型,存储型和 DOM-based 如何攻击 XSS 通过修改 HTML 节点或者执行 JS 代码来攻击网...
从面试题中学Web安全
zhalang8324的博客
03-22 6052
转载自90sec根据 Github 上的面经总结的一些安全岗面试的基础知识,这些基础知识不仅要牢记,而且要熟练操作,分享给大家,共勉。如果有漏掉的大家可以留言或是联系作者补充,谢谢。1.对Web安全的理解我觉得 Web 安全首先得懂 Web、第三方内容、Web 前端框架、Web 服务器语言、Web 开发框架、Web 应用、Web容器、存储、操作系统等这些都要了解,然后较为常见且危害较大的,SQL ...
前端面试题_14_如何解决前端安全性问题
Pe7erjmd的博客
11-30 953
如何解决前端安全性问题? XSS XSS是什么? XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其他用户使用的页面中。 比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞访问控制——例如同源策略(sama origin policy)。 这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼攻击而变得广为人知。 对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击”,而JavaScript是新型的“ShellCode” 实例: <s
2024Web前端面试题大全
最新发布
06-09
在2024年的Web前端面试中,面试官可能会关注一系列的技能和概念,包括但不限于HTML、CSS、JavaScript、前端框架(如React、Vue、Angular)、性能优化、响应式设计、浏览器兼容性、模块化和打包工具(Webpack、Rollup)、API交互、前端测试(如Jest、Mocha)、SEO、以及最近流行的技术趋势如WebAssembly、PWA(Progressive Web App)和GraphQL等。 具体的问题可能涵盖: 1. HTML5新特性的理解和使用,比如语义化的标签和表单控制。 2. CSS3样式和布局技巧,如Flexbox和Grid的使用。 3. JavaScript ES6+的新特性,比如箭头函数、模板字面量、Promise和Async/Await等。 4. 面向前端开发的JavaScript库和框架的最佳实践,如组件化开发和状态管理。 5. 了解并评价不同前端框架的核心思想和适用场景。 6. 浏览器渲染原理和性能优化策略,如懒加载、预渲染、缓存优化等。 7. 对跨域、同源策略和HTTPS的理解,以及处理JSONP或CORS的方法。 8. Webpack或Rollup的工作原理,以及如何配置它们来处理模块和打包。 9. 如何设计和实现可复用、可测试的前端代码结构。 10. 对现代前端测试的认识,包括单元测试、集成测试和端到端测试。 11. Web性能优化案例分享,如减少HTTP请求、压缩资源、CDN使用等。 12. 了解基本的SEO优化原则,如元标签、索引优化等。 13. 对现代前端架构,如服务端渲染、单页应用(SPA)和微前端的理解。 14. 最新的前端技术动态,例如WebAssembly如何提升性能,PWA如何提供离线体验,以及GraphQL如何改进API设计。 如果你想深入了解前端面试题,建议关注权威技术博客、参加在线课程和模拟面试练习,不断更新自己的知识库。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值