面试之《web安全问题》

1. csrf攻击 (Cross-site request forgery) 跨站请求伪造。利用用户的cookie,伪造用户操作接口。

案例

  • 用户登陆了a网站,cookie已经生成。
  • 用户打开了钓鱼网站b,黑客在b网站中调用了a网站的接口,就可以用用户在a网站中的cookie去获取a网站的信息,甚至去调用支付接口。

怎么预防

  • cookie设置sameSite,只允许当前域名下访问
  • 后端验证请求头中的Referer值,如果非规定域名,则不允许操作接口。

2. xss 利用系统漏洞注入有害代码,获取系统信息,或者利用脚本窃取用户信息。

案例

  • 用户通过输入框输入脚本代码,提交至服务器,例如脚本使用img标签去调用他预先写好的get方法,拿到用户的cookie。他再用cookie去做一些坏事
  • 搜索关键字或注册时,都会直接调用sql语句,如果输入了一段恶意的sql,且没有做安全校验的话,黑客就会通过注入的sql语句做一些坏事

如何防范

  • 不相信用户输入的所有内容,对用户可输入的所有内容都要做二次校验,转义等操作。
  • 服务端在拿到值去做sql查询时,也要做好 转义的操作

3. DDos攻击,高频次访问ip,导致服务器负载超标,引起宕机

  • 可以利用阿里云或其他云服务器商的防火墙
  • 后端也可以做好防护策略,同一ip多次访问时,进行拦截,例如1分钟内访问60次,将其锁住x秒,期间再次访问,就会直接返回错误信息。
  • 之前写爬虫的时候就遇到过这个问题,访问的过于频繁,就会被警告。。
相关推荐
kisshyshy4 分钟前
从0到1彻底理解流式输出:先读懂Vue的“乐高积木”,再拧开LLM的“数据水龙头”
javascript·vue.js·人工智能
触底反弹15 分钟前
Vue 实战:手把手教你实现 ChatGPT 同款打字机效果
前端·javascript·人工智能
ricardo197330 分钟前
SSR / SSG 性能对比:Next.js 三种渲染模式实测数据
前端·面试
Kel30 分钟前
Node.js 本质:从全脉络视角理解运行时原理
javascript·设计模式·node.js
兰令水34 分钟前
hot100【acm版】【2026.7.13打卡-java版本】
java·开发语言·数据结构·算法·leetcode·面试
ikoala1 小时前
Codex 小白入门:从安装到插件、MCP、Skills,一篇把配置讲明白
前端·javascript·后端
多加点辣也没关系2 小时前
JavaScript|第12章:属性配置与 getter/setter
javascript
gis开发之家3 小时前
《Vue3 从入门到大神29篇》单元测试与 E2E 测试 —— 保障 Vue3 项目的质量
前端·javascript·vue.js·单元测试·前端框架·vue3
柒和远方3 小时前
从等待到流式:LLM 流式输出的原理、协议与工程实践
javascript·llm
全栈项目管理程序猿3 小时前
Cesium-1.143 中文版 API
javascript·cesium