面试之《web安全问题》

1. csrf攻击 (Cross-site request forgery) 跨站请求伪造。利用用户的cookie,伪造用户操作接口。

案例

  • 用户登陆了a网站,cookie已经生成。
  • 用户打开了钓鱼网站b,黑客在b网站中调用了a网站的接口,就可以用用户在a网站中的cookie去获取a网站的信息,甚至去调用支付接口。

怎么预防

  • cookie设置sameSite,只允许当前域名下访问
  • 后端验证请求头中的Referer值,如果非规定域名,则不允许操作接口。

2. xss 利用系统漏洞注入有害代码,获取系统信息,或者利用脚本窃取用户信息。

案例

  • 用户通过输入框输入脚本代码,提交至服务器,例如脚本使用img标签去调用他预先写好的get方法,拿到用户的cookie。他再用cookie去做一些坏事
  • 搜索关键字或注册时,都会直接调用sql语句,如果输入了一段恶意的sql,且没有做安全校验的话,黑客就会通过注入的sql语句做一些坏事

如何防范

  • 不相信用户输入的所有内容,对用户可输入的所有内容都要做二次校验,转义等操作。
  • 服务端在拿到值去做sql查询时,也要做好 转义的操作

3. DDos攻击,高频次访问ip,导致服务器负载超标,引起宕机

  • 可以利用阿里云或其他云服务器商的防火墙
  • 后端也可以做好防护策略,同一ip多次访问时,进行拦截,例如1分钟内访问60次,将其锁住x秒,期间再次访问,就会直接返回错误信息。
  • 之前写爬虫的时候就遇到过这个问题,访问的过于频繁,就会被警告。。
相关推荐
gnip7 分钟前
总结一期正则表达式
javascript·正则表达式
爱分享的程序员24 分钟前
前端面试专栏-算法篇:18. 查找算法(二分查找、哈希查找)
前端·javascript·node.js
翻滚吧键盘29 分钟前
vue 条件渲染(v-if v-else-if v-else v-show)
前端·javascript·vue.js
你这个年龄怎么睡得着的31 分钟前
为什么 JavaScript 中 'str' 不是对象,却能调用方法?
前端·javascript·面试
南屿im38 分钟前
JavaScript 手写实现防抖与节流:优化高频事件处理的利器
前端·javascript
浩浩测试一下1 小时前
渗透信息收集- Web应用漏洞与指纹信息收集以及情报收集
android·前端·安全·web安全·网络安全·安全架构
西陵1 小时前
Nx带来极致的前端开发体验——借助CDD&TDD开发提效
前端·javascript·架构
叹一曲当时只道是寻常1 小时前
vue中添加原生右键菜单
javascript·vue.js
旷世奇才李先生2 小时前
Next.js 安装使用教程
开发语言·javascript·ecmascript
牛客企业服务2 小时前
2025年AI面试推荐榜单,数字化招聘转型优选
人工智能·python·算法·面试·职场和发展·金融·求职招聘