2021/1/19-每日三题第26弹：我不是，我没有，别瞎说啊 ？你知道常见的Web安全及防护原理吗 ？？？

前言：

朋友们好啊，今天又又又是一波神回复啊 😁😁😁 ！！！

10

有没有双重否定，不是肯定的句子 ？

神回复：女朋友说，我没有不高兴。

11

如何让时间变慢 ？

神回复：做平板支撑。

12

两个干净的东西碰在一起，不可能变成脏东西吧 ？

神回复：想想蛋糕碰到衣服。

好了，话不多说，上题目 ！！！😍😍😍

题目：

(题目1) 说一下常见 Web安全及防护原理 ？

(题目2) 用过哪些设计模式 ？

(题目3) 为什么要有同源限制 ？

倒计时10min，开始计时，看看自己能做对几道题😎😎😎？参考解析在下面，但不要直接看解析哦，这样子没什么效果的！！！

参考解析：

题目1：

1.sql 注⼊原理
  就是通过把 SQL 命令插⼊到 Web 表单递交或输⼊域名或⻚⾯请求的查询字符串，最终
  达到欺骗服务器执⾏恶意的SQL命令
  总的来说有以下⼏点：
	1）永远不要信任⽤户的输⼊，要对⽤户的输⼊进⾏校验，可以通过正则表达式，或限制⻓
       度，对单引号和双 "-" 进⾏转换等
	2）永远不要使⽤动态拼装SQL，可以使⽤参数化的 SQL 或者直接使⽤存储过程进⾏数据查
	   询存取
	3）永远不要使⽤管理员权限的数据库连接，为每个应⽤使⽤单独的权限有限的数据库连接
	4）不要把机密信息明⽂存放，请加密或者 hash 掉密码和敏感的信息
2.XSS 原理及防范
  XSS(cross-site scripting) 攻击指的是攻击者往 Web ⻚⾯⾥插⼊恶意 html 标签或
  者 javascript 代码。⽐如：攻击者在论坛中放⼀个看似安全的链接，骗取⽤户点击后，
  窃取 cookie 中的⽤户私密信息；或者攻击者在论坛中加⼀个恶意表单，当⽤户提交表单
  的时候，却把信息传送到攻击者的服务器中，⽽不是⽤户原本以为的信任站点
  XSS防范⽅法
  ⾸先代码⾥对⽤户输⼊的地⽅和变量都需要仔细检查⻓度和对 ”<”,”>”,”;”,”’” 等字符
  做过滤；其次任何内容写到⻚⾯之前都必须加以encode，避免不⼩⼼把 html tag 弄出
  来。这⼀个层⾯做好，⾄少可以堵住超过⼀半的 XSS 攻击	
3.XSS 与 CSRF 有什么区别吗？
	1)XSS 是获取信息，不需要提前知道其他⽤户⻚⾯的代码和数据包。 CSRF 是代替⽤户完成
      指定的动作，需要知道其他⽤户⻚⾯的代码和数据包。要完成⼀次 CSRF 攻击，受害者必
	  须依次完成两个步骤
	2)登录受信任⽹站 A ，并在本地⽣成 Cookie
	3)在不登出 A 的情况下，访问危险⽹站 B  
	CSRF 的防御
	1)服务端的 CSRF ⽅式⽅法很多样，但总的思想都是⼀致的，就是在客户端⻚⾯增加伪随机
	  数
	2)通过验证码的⽅法

题目2：

1.⼯⼚模式：
	1)⼯⼚模式解决了重复实例化的问题，但还有⼀个问题,那就是识别问题，因为根本⽆法
	2)主要好处就是可以消除对象间的耦合，通过使⽤⼯程⽅法⽽不是 new 关键字
2.构造函数模式:
	1)使⽤构造函数的⽅法，即解决了重复实例化的问题，⼜解决了对象识别的问题
	2)该模式与⼯⼚模式的不同之处在于直接将属性和⽅法赋值给 this 对象

题目3：

1.同源策略指的是：协议，域名，端⼝相同，同源策略是⼀种安全协议
2.举例说明：⽐如⼀个⿊客程序，他利⽤ iframe 把真正的银⾏登录⻚⾯嵌到他的⻚⾯上，
  当你使⽤真实的⽤户名，密码登录时，他的⻚⾯就可以通过 Javascript 读取到你的表单
  中 input 中的内容，这样⽤户名，密码就轻松到⼿了。

怎么样，是不是很简单，你做对了几道题呢？做对的再接再厉，不要骄傲，做错的也没有关系啦，好好总结，继续努力 ！！！

当然啦，大家如果有补充的或者其它问题，欢迎大家在评论区交流啊，路漫漫其修远兮，吾将上下而求索，希望大家可以一起坚持下去啊 ！！！😎😎😎~~~

如果这篇文章能够帮助到您，希望您不要吝惜点赞👍👍和收藏💖💖，您的支持是我继续努力的动力 💪💪 ！！！