当前位置：首页 > news >正文

2024 高级前端面试题之前端安全模块「精选篇」

news 2026/2/9 16:28:28

该内容主要整理关于前端安全模块的相关面试题，其他内容面试题请移步至「最新最全的前端面试题集锦」查看。

前端安全模块精选篇

1. 代码注入XSS
- - - 如何攻击
    - 如何防御
    - cookie 如何防范 XSS 攻击
2. 跨站请求伪造CSRF
3. 浏览器同源策略 SOP
4. 跨域资源共享 CORS
5. 密码安全

1. 代码注入XSS

跨网站指令码（英语：Cross-site scripting，通常简称为：XSS）是一种网站应用程式的安全漏洞攻击，是代码注入的一种。它允许恶意使用者将程式码注入到网页上，其他使用者在观看网页时就会受到影响。这类攻击通常包含了 HTML 以及使用者端脚本语言

XSS 分为三种：反射型，存储型和 DOM-based

如何攻击

XSS 通过修改 HTML 节点或者执行 JS代码来攻击网站。
例如通过 URL 获取某些参数

<!-- http://www.domain.com?name=<script>alert(1)</script> -->
<div>{{name}}</div>

上述 URL 输入可能会将 HTML 改为 <div><script>alert(1)</script></div> ，这样页面中就凭空多了一段可执行脚本。这种攻击类型是反射型攻击，也可以说是 DOM-based 攻击

如何防御

最普遍的做法是转义输入输出的内容，对于引号，尖括号，斜杠进行转义

function escape(str) {str = str.replace(/&/g, "&amp;");str = str.replace(/</g, "&lt;");str = str.replace(/>/g, "&gt;");str = str.replace(/"/g, "&quto;");str = str.replace(/'/g, "&##39;");str = str.replace(/`/g, "&##96;");str = str.replace(/\//g, "&##x2F;");return str
}

通过转义可以将攻击代码 <script>alert(1)</script> 变成字符串

// -> &lt;script&gt;alert(1)&lt;&##x2F;script&gt;
escape('<script>alert(1)</script>')

对于显示富文本来说，不能通过上面的办法来转义所有字符，因为这样会把需要的格式也过滤掉。这种情况通常采用白名单过滤的办法，当然也可以通过黑名单过滤，但是考虑到需要过滤的标签和标签属性实在太多，更加推荐使用白名单的方式
```
var xss = require("xss");
var html = xss('<h1 id="title">XSS Demo</h1><script>alert("xss");</script>');
// -> <h1>XSS Demo</h1>&lt;script&gt;alert("xss");&lt;/script&gt;
console.log(html);
```
以上示例使用了 js-xss 来实现。可以看到在输出中保留了 h1 标签且过滤了 script 标签

cookie 如何防范 XSS 攻击

XSS (跨站脚本攻击)是指攻击者在返回的 HTML 中嵌入 javascript 脚本，为了减轻这些攻击，需要在 HTTP 头部配上，set-cookie

httpOnly 这个属性可以防止 XSS，它会禁止 javascript 脚本来访问 cookie
secure- 这个属性告诉浏览器仅在请求为 https 的时候发送 cookie

2. 跨站请求伪造CSRF

CSRF 就是利用用户的登录态发起恶意请求
CSRF（Cross-site request forgery）跨站请求伪造，是一种常见的攻击方式。是指 A 网站正常登陆后，cookie 正常保存登录信息，其他网站 B 通过某种方式调用 A 网站接口进行操作，A 的接口会在请求时会自动带上 cookie。

同源策略可以通过 html 标签加载资源，而且同源策略不阻止接口请求而是拦截请求结果，CSRF 恰恰占了这两个便宜。
对于 GET 请求，直接放到 <img> 就能神不知鬼不觉地请求跨域接口。

对于 POST 请求，很多例子都使用 form 提交：

👇 例子

<form action="<nowiki>http://bank.com/transfer.do</nowiki>" method="POST"><input type="hidden" name="acct" value="MARIA" /><input type="hidden" name="amount" value="100000" /><input type="submit" value="View my pictures" />
</form>

浏览器同源策略不能作为防范 CSRF 的方法
浏览器允许这么做，归根到底就是因为你 无法用 js 直接操作获得的结果。

CSRF怎么获取用户的登录态
cookie通常是不能跨域访问的，那为什么会有CSRF攻击
总结

3. 浏览器同源策略 SOP

3.1 同源
3.2 限制
3.3 绕过跨域
3.4 浏览器同源策略与ajax

4. 跨域资源共享 CORS

4.1 简单请求
4.2 预检请求
4.3 CORS 与 cookie

5. 密码安全

2024 高级前端面试题之前端安全模块「精选篇」

该内容主要整理关于前端安全模块的相关面试题，其他内容面试题请移步至「最新最全的前端面试题集锦」查看。前端安全模块精选篇 1. 代码注入XSS如何攻击如何防御cookie 如何防范 XSS 攻击 2. 跨站请求伪造CSRF3. 浏览器同源策略 SOP4. 跨域资源共享 CORS5. 密码…...

编程日记 2024/2/7 5:40:40

SpringBoot Security安全认证框架初始化流程认证流程之源码分析

SpringBoot Security安全认证框架初始化流程&认证流程之源码分析以RuoYi-Vue前后端分离版本为例分析SpringBoot Security安全认证框架初始化流程&认证流程的源码分析目录 SpringBoot Security安全认证框架初始化流程&认证流程之源码分析一、SpringBoot Security安…...

编程日记 2024/2/7 5:38:39

2024美赛预测算法 | 回归预测 | Matlab基于RIME-LSSVM霜冰算法优化最小二乘支持向量机的数据多输入单输出回归预测

2024美赛预测算法 | 回归预测 | Matlab基于RIME-LSSVM霜冰算法优化最小二乘支持向量机的数据多输入单输出回归预测目录 2024美赛预测算法 | 回归预测 | Matlab基于RIME-LSSVM霜冰算法优化最小二乘支持向量机的数据多输入单输出回归预测预测效果基本介绍程序设计参考资料预测效…...

编程日记 2024/2/7 5:35:35

远程主机可能不符合 glibc 和 libstdc++ Vs Code 服务器的先决条件

vscode连接远程主机报错，原因官方已经公布过了，需要远程主机 glibc>2.28，所以Ubuntu18及以下版本没法再远程连接了，其他Linux系统执行ldd --version查看glibc版本自行判断。解决方案建议： 不要再想升级glibc了问题…...

编程日记 2024/2/7 5:31:31

备战蓝桥杯---数据结构与STL应用（进阶2）

本文将主要围绕有关map的今典应用展开： 下面我用图进行分析： 下面为AC代码： #include<bits/stdc.h> using namespace std; struct Point {int x,y;bool operator < (const Point & r) const {return x < r.x || ( x r.x &a…...

编程日记 2024/2/7 5:30:30

SpringBoot：多环境配置

多环境配置demo代码：点击查看LearnSpringBoot02 点击查看更多的SpringBoot教程方式一、多个properties文件配置注意：创建properties文件,命名规则：application-（环境名称） 示例：application-dev.proper…...

编程日记 2024/2/7 5:25:25

input框中添加一个 X（关闭/清空按钮）

要在输入框（<input> 元素）中添加一个 X（关闭/清空按钮），可以使用 CSS 和 JavaScript 实现。 HTML： <div class"input-container"><input type"text" id"myInput…...

编程日记 2024/2/7 5:23:23

Unity3d Shader篇（三）— 片元半兰伯特着色器解析

文章目录前言一、片元半兰伯特着色器是什么？1. 片元漫反射着色器的工作原理2. 片元半兰伯特着色器的优缺点优点：缺点： 3. 公式二、使用步骤1. Shader 属性定义2. SubShader 设置3. 渲染 Pass4. 定义结构体和顶点着色器函数5. 片元着色器函数…...

编程日记 2024/2/7 5:17:18

【vue3学习P5-P10】vue3语法；vue响应式实现

0、vue2和vue3对比框架版本API方式双向绑定原理domFragmentsTree-Shakingvue2选项式API（Options API）基于Object.defineProperty（监听）实现，不能双向绑定对象类型的数据【通过Object.defineProperty里面的set和get做…...

编程日记 2024/2/7 5:14:14

相机图像质量研究(3)图像质量测试介绍

系列文章目录相机图像质量研究(1)Camera成像流程介绍相机图像质量研究(2)ISP专用平台调优介绍相机图像质量研究(3)图像质量测试介绍相机图像质量研究(4)常见问题总结：光学结构对成像的影响--焦距相机图像质量研究(5)常见问题总结：光学结构对成…...

编程日记 2024/2/7 5:11:12

PaddleDetection学习5——使用Paddle-Lite在 Android 上实现实时的人脸检测（C++）

使用Paddle-Lite在 Android 上实现实时的人脸检测 1 环境准备2. 部署步骤2.1 下载Paddle-Lite-Demo2.2 运行face_detection_demo项目3 使用Opencv对后处理进行优化4 开启手机摄像头进行人脸检测1 环境准备参考前一篇在 Android 上使用Paddle-Lite实现实时的目标检测功能 2. …...

编程日记 2024/2/7 5:10:11

全套电气自动化样例图纸分享，使用SuperWorks自动化版免费设计软件！

今天给大家分享一套完备的电气自动化样例图纸，结构准确、内容清晰，适合初学者入门操作练习。整套图纸包含图纸目录、原理图、端子列表、连接列表、元件列表、接线图，具有较高的参考价值，请大家点击自行下载文件！ 1e8…...

编程日记 2024/2/7 5:06:07

带你实现用自己域名打开Tomcat

文章目录 Tomcat1.1、Tomcat 下载1.2、Tomcat 文件图解1.3、启动或关闭 Tomcat1.3.1、启动1.3.2、关闭程序2.1、修改端口号2.2、修改主机名称Tomcat 1.1、Tomcat 下载首先去Tomcat 官网下载找到我们需要下载的版本 1.2、To...

编程日记 2024/2/7 5:05:06

python coding with ChatGPT 打卡第18天| 二叉树：从中序与后序遍历序列构造二叉树、最大二叉树

相关推荐 python coding with ChatGPT 打卡第12天| 二叉树：理论基础 python coding with ChatGPT 打卡第13天| 二叉树的深度优先遍历 python coding with ChatGPT 打卡第14天| 二叉树的广度优先遍历 python coding with ChatGPT 打卡第15天| 二叉树：翻转…...

编程日记 2024/2/7 5:03:04

1.下列代码段中，存在编译错误的语句是(B C D) byte b1 1,b2 2,b3,b6,b8; final byte b4 4,b5 6,b7; b3 (b1 b2);/*语句1*/ b6 b4 b5 ; /*语句2*/ b8 (b1 b4);/*语句3*/ b7 (b2 b5);/*语句4*/ System.out.println(b3 b6);A: 语句2 B: 语句1 C: 语句3…...

编程日记 2024/2/7 5:02:03

【自定义序列化器】⭐️通过继承JsonSerializer和实现WebMvcConfigurer类完成自定义序列化

目录前言解决方案具体实现一、自定义序列化器二、两种方式指定作用域 1、注解 JsonSerialize() 2、实现自定义全局配置 WebMvcConfigurer 三、拓展 WebMvcConfigurer接口章末前言小伙伴们大家好，上次做了自定义对象属性拷贝&#x…...

编程日记 2024/2/7 5:00:02

闲聊电脑（5）装个 Windows（一）

夜深人静，万籁俱寂，老郭趴在电脑桌上打盹，桌子上的小黄鸭和桌子旁的冰箱又开始窃窃私语…… 小黄鸭：冰箱大哥，上次说到硬盘分区和格式化，弄完之后，就该装系统了吧？ 冰箱&#x…...

编程日记 2024/2/7 4:58:00

力扣（leetcode）第414题第三大的数（Python）

414.第三大的数题目链接：414.第三大的数给你一个非空数组，返回此数组中第三大的数。如果不存在，则返回数组中最大的数。示例 1： 输入：[3, 2, 1] 输出：1 解释：第三大的数是 1 。示例 2&a…...

编程日记 2024/2/7 4:56:59

使用wda框架实现IOS自动化测试详解

目录 1、weditor元素定位工具 1.1、weditor的安装和使用 2、wda iOS自动化框架 2.1、wda概述 2.2、wda安装 2.3、wda的使用 2.3.1、全局配置 2.3.2、创建客户端 2.3.3、APP相关操作 1、启动APP 2、关闭APP 3、获取APP状态信息 4、获取当前APP的运行信息 2.3.4、设…...

编程日记 2024/2/7 4:55:58

eNSP-Cloud(实现本地电脑与eNSP内设备之间通信)

说明： 想象一下，你正在用eNSP搭建一个虚拟的网络世界，里面有虚拟的路由器、交换机、电脑（PC）等等。这些设备都在你的电脑里面“运行”，它们之间可以互相通信，就像一个封闭的小王国。但是&#…...

编程新知 2026/2/8 4:37:17

Golang dig框架与GraphQL的完美结合

将 Go 的 Dig 依赖注入框架与 GraphQL 结合使用，可以显著提升应用程序的可维护性、可测试性以及灵活性。 Dig 是一个强大的依赖注入容器，能够帮助开发者更好地管理复杂的依赖关系，而 GraphQL 则是一种用于 API 的查询语言，能够提…...

编程新知 2025/12/31 8:38:23

React19源码系列之事件插件系统

事件类别事件类型定义文档 Event Event 接口表示在 EventTarget 上出现的事件。 Event - Web API | MDN UIEvent UIEvent 接口表示简单的用户界面事件。 UIEvent - Web API | MDN KeyboardEvent KeyboardEvent 对象描述了用户与键盘的交互。 KeyboardEvent - Web…...

编程新知 2026/2/7 8:31:55

代码随想录刷题day30

1、零钱兑换II 给你一个整数数组 coins 表示不同面额的硬币，另给一个整数 amount 表示总金额。请你计算并返回可以凑成总金额的硬币组合数。如果任何硬币组合都无法凑出总金额，返回 0 。假设每一种面额的硬币有无限个。题目数据保证结果符合 32 位带…...

编程新知 2025/10/4 6:30:56

LabVIEW双光子成像系统技术

双光子成像技术的核心特性双光子成像通过双低能量光子协同激发机制，展现出显著的技术优势： 深层组织穿透能力：适用于活体组织深度成像高分辨率观测性能：满足微观结构的精细研究需求低光毒性特点：减少对样本的损伤…...

编程新知 2026/1/31 13:04:44

PostgreSQL——环境搭建

一、Linux # 安装 PostgreSQL 15 仓库 sudo dnf install -y https://download.postgresql.org/pub/repos/yum/reporpms/EL-$(rpm -E %{rhel})-x86_64/pgdg-redhat-repo-latest.noarch.rpm# 安装之前先确认是否已经存在PostgreSQL rpm -qa | grep postgres# 如果存在&#xff0…...

编程新知 2025/11/26 20:46:42

Kubernetes 网络模型深度解析：Pod IP 与 Service 的负载均衡机制，Service到底是什么？

Pod IP 的本质与特性 Pod IP 的定位纯端点地址：Pod IP 是分配给 Pod 网络命名空间的真实 IP 地址（如 10.244.1.2）无特殊名称：在 Kubernetes 中，它通常被称为 “Pod IP” 或 “容器 IP”生命周期：与 Pod …...

编程新知 2025/11/4 22:48:45

Cilium动手实验室: 精通之旅---13.Cilium LoadBalancer IPAM and L2 Service Announcement

Cilium动手实验室: 精通之旅---13.Cilium LoadBalancer IPAM and L2 Service Announcement 1. LAB环境2. L2公告策略2.1 部署Death Star2.2 访问服务2.3 部署L2公告策略2.4 服务宣告 3. 可视化 ARP 流量3.1 部署新服务3.2 准备可视化3.3 再次请求 4. 自动IPAM4.1 IPAM Pool4.2 …...

编程新知 2026/2/5 17:29:21