前言:
朋友们好啊,今天又又又是一波神回复啊 😁😁😁 !!!
10
有没有双重否定,不是肯定的句子 ?
神回复:女朋友说,我没有不高兴。
11
如何让时间变慢 ?
神回复:做平板支撑。
12
两个干净的东西碰在一起,不可能变成脏东西吧 ?
神回复:想想蛋糕碰到衣服。
好了,话不多说,上题目 !!!😍😍😍
题目:
(题目1) 说一下常见 Web安全及防护原理 ?
(题目2) 用过哪些设计模式 ?
(题目3) 为什么要有同源限制 ?
倒计时10min,开始计时,看看自己能做对几道题😎😎😎?参考解析在下面,但不要直接看解析哦,这样子没什么效果的!!!
参考解析:
题目1:
1.sql 注⼊原理
就是通过把 SQL 命令插⼊到 Web 表单递交或输⼊域名或⻚⾯请求的查询字符串,最终
达到欺骗服务器执⾏恶意的SQL命令
总的来说有以下⼏点:
1)永远不要信任⽤户的输⼊,要对⽤户的输⼊进⾏校验,可以通过正则表达式,或限制⻓
度,对单引号和双 "-" 进⾏转换等
2)永远不要使⽤动态拼装SQL,可以使⽤参数化的 SQL 或者直接使⽤存储过程进⾏数据查
询存取
3)永远不要使⽤管理员权限的数据库连接,为每个应⽤使⽤单独的权限有限的数据库连接
4)不要把机密信息明⽂存放,请加密或者 hash 掉密码和敏感的信息
2.XSS 原理及防范
XSS(cross-site scripting) 攻击指的是攻击者往 Web ⻚⾯⾥插⼊恶意 html 标签或
者 javascript 代码。⽐如:攻击者在论坛中放⼀个看似安全的链接,骗取⽤户点击后,
窃取 cookie 中的⽤户私密信息;或者攻击者在论坛中加⼀个恶意表单,当⽤户提交表单
的时候,却把信息传送到攻击者的服务器中,⽽不是⽤户原本以为的信任站点
XSS防范⽅法
⾸先代码⾥对⽤户输⼊的地⽅和变量都需要仔细检查⻓度和对 ”<”,”>”,”;”,”’” 等字符
做过滤;其次任何内容写到⻚⾯之前都必须加以encode,避免不⼩⼼把 html tag 弄出
来。这⼀个层⾯做好,⾄少可以堵住超过⼀半的 XSS 攻击
3.XSS 与 CSRF 有什么区别吗?
1)XSS 是获取信息,不需要提前知道其他⽤户⻚⾯的代码和数据包。 CSRF 是代替⽤户完成
指定的动作,需要知道其他⽤户⻚⾯的代码和数据包。要完成⼀次 CSRF 攻击,受害者必
须依次完成两个步骤
2)登录受信任⽹站 A ,并在本地⽣成 Cookie
3)在不登出 A 的情况下,访问危险⽹站 B
CSRF 的防御
1)服务端的 CSRF ⽅式⽅法很多样,但总的思想都是⼀致的,就是在客户端⻚⾯增加伪随机
数
2)通过验证码的⽅法
题目2:
1.⼯⼚模式:
1)⼯⼚模式解决了重复实例化的问题,但还有⼀个问题,那就是识别问题,因为根本⽆法
2)主要好处就是可以消除对象间的耦合,通过使⽤⼯程⽅法⽽不是 new 关键字
2.构造函数模式:
1)使⽤构造函数的⽅法,即解决了重复实例化的问题,⼜解决了对象识别的问题
2)该模式与⼯⼚模式的不同之处在于直接将属性和⽅法赋值给 this 对象
题目3:
1.同源策略指的是:协议,域名,端⼝相同,同源策略是⼀种安全协议
2.举例说明:⽐如⼀个⿊客程序,他利⽤ iframe 把真正的银⾏登录⻚⾯嵌到他的⻚⾯上,
当你使⽤真实的⽤户名,密码登录时,他的⻚⾯就可以通过 Javascript 读取到你的表单
中 input 中的内容,这样⽤户名,密码就轻松到⼿了。
怎么样,是不是很简单,你做对了几道题呢?做对的再接再厉,不要骄傲,做错的也没有关系啦,好好总结,继续努力 !!!
当然啦,大家如果有补充的或者其它问题,欢迎大家在评论区交流啊,路漫漫其修远兮,吾将上下而求索,希望大家可以一起坚持下去啊 !!!😎😎😎~~~
如果这篇文章能够帮助到您,希望您不要吝惜点赞👍👍和收藏💖💖,您的支持是我继续努力的动力 💪💪 !!!