当前位置：首页 > news >正文

2024 高级前端面试题之前端安全模块「精选篇」

news 2025/11/9 2:21:59

该内容主要整理关于前端安全模块的相关面试题，其他内容面试题请移步至「最新最全的前端面试题集锦」查看。

前端安全模块精选篇

1. 代码注入XSS
- - - 如何攻击
    - 如何防御
    - cookie 如何防范 XSS 攻击
2. 跨站请求伪造CSRF
3. 浏览器同源策略 SOP
4. 跨域资源共享 CORS
5. 密码安全

1. 代码注入XSS

跨网站指令码（英语：Cross-site scripting，通常简称为：XSS）是一种网站应用程式的安全漏洞攻击，是代码注入的一种。它允许恶意使用者将程式码注入到网页上，其他使用者在观看网页时就会受到影响。这类攻击通常包含了 HTML 以及使用者端脚本语言

XSS 分为三种：反射型，存储型和 DOM-based

如何攻击

XSS 通过修改 HTML 节点或者执行 JS代码来攻击网站。
例如通过 URL 获取某些参数

<!-- http://www.domain.com?name=<script>alert(1)</script> -->
<div>{{name}}</div>

上述 URL 输入可能会将 HTML 改为 <div><script>alert(1)</script></div> ，这样页面中就凭空多了一段可执行脚本。这种攻击类型是反射型攻击，也可以说是 DOM-based 攻击

如何防御

最普遍的做法是转义输入输出的内容，对于引号，尖括号，斜杠进行转义

function escape(str) {str = str.replace(/&/g, "&amp;");str = str.replace(/</g, "&lt;");str = str.replace(/>/g, "&gt;");str = str.replace(/"/g, "&quto;");str = str.replace(/'/g, "&##39;");str = str.replace(/`/g, "&##96;");str = str.replace(/\//g, "&##x2F;");return str
}

通过转义可以将攻击代码 <script>alert(1)</script> 变成字符串

// -> &lt;script&gt;alert(1)&lt;&##x2F;script&gt;
escape('<script>alert(1)</script>')

对于显示富文本来说，不能通过上面的办法来转义所有字符，因为这样会把需要的格式也过滤掉。这种情况通常采用白名单过滤的办法，当然也可以通过黑名单过滤，但是考虑到需要过滤的标签和标签属性实在太多，更加推荐使用白名单的方式
```
var xss = require("xss");
var html = xss('<h1 id="title">XSS Demo</h1><script>alert("xss");</script>');
// -> <h1>XSS Demo</h1>&lt;script&gt;alert("xss");&lt;/script&gt;
console.log(html);
```
以上示例使用了 js-xss 来实现。可以看到在输出中保留了 h1 标签且过滤了 script 标签

cookie 如何防范 XSS 攻击

XSS (跨站脚本攻击)是指攻击者在返回的 HTML 中嵌入 javascript 脚本，为了减轻这些攻击，需要在 HTTP 头部配上，set-cookie

httpOnly 这个属性可以防止 XSS，它会禁止 javascript 脚本来访问 cookie
secure- 这个属性告诉浏览器仅在请求为 https 的时候发送 cookie

2. 跨站请求伪造CSRF

CSRF 就是利用用户的登录态发起恶意请求
CSRF（Cross-site request forgery）跨站请求伪造，是一种常见的攻击方式。是指 A 网站正常登陆后，cookie 正常保存登录信息，其他网站 B 通过某种方式调用 A 网站接口进行操作，A 的接口会在请求时会自动带上 cookie。

同源策略可以通过 html 标签加载资源，而且同源策略不阻止接口请求而是拦截请求结果，CSRF 恰恰占了这两个便宜。
对于 GET 请求，直接放到 <img> 就能神不知鬼不觉地请求跨域接口。

对于 POST 请求，很多例子都使用 form 提交：

👇 例子

<form action="<nowiki>http://bank.com/transfer.do</nowiki>" method="POST"><input type="hidden" name="acct" value="MARIA" /><input type="hidden" name="amount" value="100000" /><input type="submit" value="View my pictures" />
</form>

浏览器同源策略不能作为防范 CSRF 的方法
浏览器允许这么做，归根到底就是因为你 无法用 js 直接操作获得的结果。

CSRF怎么获取用户的登录态
cookie通常是不能跨域访问的，那为什么会有CSRF攻击
总结

3. 浏览器同源策略 SOP

3.1 同源
3.2 限制
3.3 绕过跨域
3.4 浏览器同源策略与ajax

4. 跨域资源共享 CORS

4.1 简单请求
4.2 预检请求
4.3 CORS 与 cookie

5. 密码安全

2024 高级前端面试题之前端安全模块「精选篇」

该内容主要整理关于前端安全模块的相关面试题，其他内容面试题请移步至「最新最全的前端面试题集锦」查看。前端安全模块精选篇 1. 代码注入XSS如何攻击如何防御cookie 如何防范 XSS 攻击 2. 跨站请求伪造CSRF3. 浏览器同源策略 SOP4. 跨域资源共享 CORS5. 密码…...

编程日记 2024/2/7 5:40:40

SpringBoot Security安全认证框架初始化流程认证流程之源码分析

SpringBoot Security安全认证框架初始化流程&认证流程之源码分析以RuoYi-Vue前后端分离版本为例分析SpringBoot Security安全认证框架初始化流程&认证流程的源码分析目录 SpringBoot Security安全认证框架初始化流程&认证流程之源码分析一、SpringBoot Security安…...

编程日记 2024/2/7 5:38:39

2024美赛预测算法 | 回归预测 | Matlab基于RIME-LSSVM霜冰算法优化最小二乘支持向量机的数据多输入单输出回归预测

2024美赛预测算法 | 回归预测 | Matlab基于RIME-LSSVM霜冰算法优化最小二乘支持向量机的数据多输入单输出回归预测目录 2024美赛预测算法 | 回归预测 | Matlab基于RIME-LSSVM霜冰算法优化最小二乘支持向量机的数据多输入单输出回归预测预测效果基本介绍程序设计参考资料预测效…...

编程日记 2024/2/7 5:35:35

远程主机可能不符合 glibc 和 libstdc++ Vs Code 服务器的先决条件

vscode连接远程主机报错，原因官方已经公布过了，需要远程主机 glibc>2.28，所以Ubuntu18及以下版本没法再远程连接了，其他Linux系统执行ldd --version查看glibc版本自行判断。解决方案建议： 不要再想升级glibc了问题…...

编程日记 2024/2/7 5:31:31

备战蓝桥杯---数据结构与STL应用（进阶2）

本文将主要围绕有关map的今典应用展开： 下面我用图进行分析： 下面为AC代码： #include<bits/stdc.h> using namespace std; struct Point {int x,y;bool operator < (const Point & r) const {return x < r.x || ( x r.x &a…...

编程日记 2024/2/7 5:30:30

SpringBoot：多环境配置

多环境配置demo代码：点击查看LearnSpringBoot02 点击查看更多的SpringBoot教程方式一、多个properties文件配置注意：创建properties文件,命名规则：application-（环境名称） 示例：application-dev.proper…...

编程日记 2024/2/7 5:25:25

input框中添加一个 X（关闭/清空按钮）

要在输入框（<input> 元素）中添加一个 X（关闭/清空按钮），可以使用 CSS 和 JavaScript 实现。 HTML： <div class"input-container"><input type"text" id"myInput…...

编程日记 2024/2/7 5:23:23

Unity3d Shader篇（三）— 片元半兰伯特着色器解析

文章目录前言一、片元半兰伯特着色器是什么？1. 片元漫反射着色器的工作原理2. 片元半兰伯特着色器的优缺点优点：缺点： 3. 公式二、使用步骤1. Shader 属性定义2. SubShader 设置3. 渲染 Pass4. 定义结构体和顶点着色器函数5. 片元着色器函数…...

编程日记 2024/2/7 5:17:18

【vue3学习P5-P10】vue3语法；vue响应式实现

0、vue2和vue3对比框架版本API方式双向绑定原理domFragmentsTree-Shakingvue2选项式API（Options API）基于Object.defineProperty（监听）实现，不能双向绑定对象类型的数据【通过Object.defineProperty里面的set和get做…...

编程日记 2024/2/7 5:14:14

相机图像质量研究(3)图像质量测试介绍

系列文章目录相机图像质量研究(1)Camera成像流程介绍相机图像质量研究(2)ISP专用平台调优介绍相机图像质量研究(3)图像质量测试介绍相机图像质量研究(4)常见问题总结：光学结构对成像的影响--焦距相机图像质量研究(5)常见问题总结：光学结构对成…...

编程日记 2024/2/7 5:11:12

PaddleDetection学习5——使用Paddle-Lite在 Android 上实现实时的人脸检测（C++）

使用Paddle-Lite在 Android 上实现实时的人脸检测 1 环境准备2. 部署步骤2.1 下载Paddle-Lite-Demo2.2 运行face_detection_demo项目3 使用Opencv对后处理进行优化4 开启手机摄像头进行人脸检测1 环境准备参考前一篇在 Android 上使用Paddle-Lite实现实时的目标检测功能 2. …...

编程日记 2024/2/7 5:10:11

全套电气自动化样例图纸分享，使用SuperWorks自动化版免费设计软件！

今天给大家分享一套完备的电气自动化样例图纸，结构准确、内容清晰，适合初学者入门操作练习。整套图纸包含图纸目录、原理图、端子列表、连接列表、元件列表、接线图，具有较高的参考价值，请大家点击自行下载文件！ 1e8…...

编程日记 2024/2/7 5:06:07

带你实现用自己域名打开Tomcat

文章目录 Tomcat1.1、Tomcat 下载1.2、Tomcat 文件图解1.3、启动或关闭 Tomcat1.3.1、启动1.3.2、关闭程序2.1、修改端口号2.2、修改主机名称Tomcat 1.1、Tomcat 下载首先去Tomcat 官网下载找到我们需要下载的版本 1.2、To...

编程日记 2024/2/7 5:05:06

python coding with ChatGPT 打卡第18天| 二叉树：从中序与后序遍历序列构造二叉树、最大二叉树

相关推荐 python coding with ChatGPT 打卡第12天| 二叉树：理论基础 python coding with ChatGPT 打卡第13天| 二叉树的深度优先遍历 python coding with ChatGPT 打卡第14天| 二叉树的广度优先遍历 python coding with ChatGPT 打卡第15天| 二叉树：翻转…...

编程日记 2024/2/7 5:03:04

1.下列代码段中，存在编译错误的语句是(B C D) byte b1 1,b2 2,b3,b6,b8; final byte b4 4,b5 6,b7; b3 (b1 b2);/*语句1*/ b6 b4 b5 ; /*语句2*/ b8 (b1 b4);/*语句3*/ b7 (b2 b5);/*语句4*/ System.out.println(b3 b6);A: 语句2 B: 语句1 C: 语句3…...

编程日记 2024/2/7 5:02:03

【自定义序列化器】⭐️通过继承JsonSerializer和实现WebMvcConfigurer类完成自定义序列化

目录前言解决方案具体实现一、自定义序列化器二、两种方式指定作用域 1、注解 JsonSerialize() 2、实现自定义全局配置 WebMvcConfigurer 三、拓展 WebMvcConfigurer接口章末前言小伙伴们大家好，上次做了自定义对象属性拷贝&#x…...

编程日记 2024/2/7 5:00:02

闲聊电脑（5）装个 Windows（一）

夜深人静，万籁俱寂，老郭趴在电脑桌上打盹，桌子上的小黄鸭和桌子旁的冰箱又开始窃窃私语…… 小黄鸭：冰箱大哥，上次说到硬盘分区和格式化，弄完之后，就该装系统了吧？ 冰箱&#x…...

编程日记 2024/2/7 4:58:00

力扣（leetcode）第414题第三大的数（Python）

414.第三大的数题目链接：414.第三大的数给你一个非空数组，返回此数组中第三大的数。如果不存在，则返回数组中最大的数。示例 1： 输入：[3, 2, 1] 输出：1 解释：第三大的数是 1 。示例 2&a…...

编程日记 2024/2/7 4:56:59

使用wda框架实现IOS自动化测试详解

目录 1、weditor元素定位工具 1.1、weditor的安装和使用 2、wda iOS自动化框架 2.1、wda概述 2.2、wda安装 2.3、wda的使用 2.3.1、全局配置 2.3.2、创建客户端 2.3.3、APP相关操作 1、启动APP 2、关闭APP 3、获取APP状态信息 4、获取当前APP的运行信息 2.3.4、设…...

编程日记 2024/2/7 4:55:58

基于FPGA的PID算法学习———实现PID比例控制算法

基于FPGA的PID算法学习前言一、PID算法分析二、PID仿真分析1. PID代码2.PI代码3.P代码4.顶层5.测试文件6.仿真波形总结前言学习内容：参考网站： PID算法控制 PID即：Proportional（比例）、Integral（积分&…...

编程新知 2025/11/7 14:08:10

c++ 面试题(1)-----深度优先搜索（DFS）实现

操作系统：ubuntu22.04 IDE:Visual Studio Code 编程语言：C11 题目描述地上有一个 m 行 n 列的方格，从坐标 [0,0] 起始。一个机器人可以从某一格移动到上下左右四个格子，但不能进入行坐标和列坐标的数位之和大于 k 的格子。例…...

编程新知 2025/11/5 20:18:24

sqlserver 根据指定字符解析拼接字符串

DECLARE LotNo NVARCHAR(50)A,B,C DECLARE xml XML ( SELECT <x> REPLACE(LotNo, ,, </x><x>) </x> ) DECLARE ErrorCode NVARCHAR(50) -- 提取 XML 中的值 SELECT value x.value(., VARCHAR(MAX))…...

编程新知 2025/10/29 4:33:03

PL0语法，分析器实现！

简介 PL/0 是一种简单的编程语言，通常用于教学编译原理。它的语法结构清晰，功能包括常量定义、变量声明、过程（子程序）定义以及基本的控制结构（如条件语句和循环语句）。 PL/0 语法规范 PL/0 是一种教学用的小型编程语言，由 Niklaus Wirth 设计，用于展示编译原理的核…...

编程新知 2025/11/8 8:58:44

Rust 异步编程

Rust 异步编程引言 Rust 是一种系统编程语言，以其高性能、安全性以及零成本抽象而著称。在多核处理器成为主流的今天，异步编程成为了一种提高应用性能、优化资源利用的有效手段。本文将深入探讨 Rust 异步编程的核心概念、常用库以及最佳实践。异步编程基础什么是异步…...

编程新知 2025/10/20 1:24:05

Linux 内存管理实战精讲：核心原理与面试常考点全解析

Linux 内存管理实战精讲：核心原理与面试常考点全解析 Linux 内核内存管理是系统设计中最复杂但也最核心的模块之一。它不仅支撑着虚拟内存机制、物理内存分配、进程隔离与资源复用，还直接决定系统运行的性能与稳定性。无论你是嵌入式开发者、内核调试工…...

编程新知 2025/11/7 15:38:07

pycharm 设置环境出错

pycharm 设置环境出错 pycharm 新建项目，设置虚拟环境，出错 pycharm 出错 Cannot open Local Failed to start [powershell.exe, -NoExit, -ExecutionPolicy, Bypass, -File, C:\Program Files\JetBrains\PyCharm 2024.1.3\plugins\terminal\shell-int…...

编程新知 2025/8/9 4:55:19