关于前端安全的相关面试题

作者：码上未来CodingFuture 来源：码上未来CodingFuture 2022/10/19 17:44:11

程序员面试干货来啦，今天小编就先为大家整理出5道大厂面试时常...

程序员面试干货来啦，今天小编就先为大家整理出5道大厂面试时常见关于前端安全的面试题。看看你能答对几道题呢！多多掌握此类面试题，就会增加面试通过的机率哦，后续还有其他类的面试题，请持续关注哟！

16.1. 什么是CSRF攻击 CSRF即Cross-site request forgery(跨站请求伪造)，是⼀种挟制⽤户在当前已登录的Web应⽤程序上执⾏⾮本意的操作的攻击⽅法。假如⿊客在⾃⼰的站点上放置了其他⽹站的外链，例如www.weibo.com/api，默认情况下，浏览器会带着weibo.com的cookie访问这个⽹址，如果⽤户已登录过该⽹站且⽹站没有对 CSRF攻击进⾏防御，那么服务器就会认为是⽤户本⼈在调⽤此接⼜并执⾏相关操作，致使账号被劫持。 16.2. 如何防御CSRF攻击 1. 验证Token：浏览器请求服务器时，服务器返回⼀个token，每个请求都需要同时带上token和cookie才会被认为是合法请求 2. 验证Referer：通过验证请求头的Referer来验证来源站点，但请求头很容易伪造 3. 设置SameSite：设置cookie的SameSite，可以让cookie不随跨域请求发出，但浏览器兼容不⼀ 16.3. 什么是XSS攻击 XSS即Cross Site Scripting（跨站脚本），指的是通过利⽤⽹页开发时留下的漏洞，注⼊恶意指令代码到⽹页，使⽤户加载并执⾏攻击者恶意制造的⽹页程序。常见的例如在评论区植⼊JS 代码，⽤户进⼊评论页时代码被执⾏，造成页⾯被植入⼴告、账号信息被窃取 16.4. XSS攻击有哪些类型 1. 存储型：即攻击被存储在服务端，常见的是在评论区插⼊攻击脚本，如果脚本被储存到服务端，那么所有看见对应评论的⽤户都会受到攻击。 2. 反射型：攻击者将脚本混在URL⾥，服务端接收到URL将恶意代码当做参数取出并拼接在HTML⾥返回，浏览器解析此HTML后即执⾏恶意代码 3. DOM型：将攻击脚本写在URL中，诱导⽤户点击该URL，如果URL被解析，那么攻击脚本就会被运⾏。和前两者的差别主要在于DOM型攻击不经过服务端 16.5. 如何防御XSS攻击 1. 输⼊检查：对输⼊内容中的<script><iframe>等标签进⾏转义或者过滤 2. 设置httpOnly：很多XSS攻击⽬标都是窃取⽤户cookie伪造⾝份认证，设置此属性可防⽌JS获取cookie 3. 开启CSP，即开启⽩名单，可阻⽌⽩名单以外的资源加载和运⾏希望这些面试题对你有所帮助！下一期我们会有关于其他大厂面试题。别忘了关注我们的公众号哦，预防走丢！愿你眼眸有星辰，心中有山海，从此以梦为马，不负韶华！码上未来，成就你更好的未来！