前端安全方面面试题

迷南。 2022-12-01 15:47 207阅读 0赞

## 1. 请简述XSS的原理 ##

跨站脚本攻击, 用户的数据, 数据可能是文章或评论或浏览器访问时候的某个参数, 总之是来自用户的数据, 最后被当做脚本在页面中执行, 执行的地方可能在script标签或其他标签的属性或富文本中等等… 最根本的是本来是个数据被当成了脚本变成了程序

## 2. 请简述XSS的防御方法 ##

两种思路: 不要让其变成程序, 这个数据变成程序的话不让它执行

1.  浏览器内置了对反射型XSS的防御, 当它检测到有反射型xss的时候会进行拦截
2.  对数据进行适当转义, 包括在正文中的转义, 属性中的转义, 脚本中的转义, 转义的字符包括大于号小于号单双引号以及and号等等
3.  针对不能对html标签全部过滤或转义的情况, 比如富文本, 因为富文本的样式是靠html标签产生的, 这种情况只能使用白名单进行过滤, 就是把这段代码解析成具体的html树, 对树进行分析哪些可以保留, 最后变成html字符串
4.  使用csp指定哪些内容可以执行, 哪些不能执行

## 3. XSS的防御需要注意的点 ##

转义的时候注意适用场景和范围  
如果是在script标签, 需要转义大于号小于号, 在属性中转义引号, 富文本中只能通过白名单方式… 也就是场景和对应方法

## 4. CSRF的原理及其危害是什么 ##

浏览器在访问服务器的时候会带上cookie, 而第三方网站通过图片或表单提交方式也会带上cookie, 带上的过程中表示我知道用户身份, 利用身份进行操作, 而这个过程中用户不知情. 危害是冒名发帖, 冒名消费等等

## 5. CSRF如何防御 ##

不让第三方请求带cookie, 主要通过same-site这个属性, 但是会有兼容性问题  
第二种方式是增加用户的感知, 比如验证码, 不让静默操作  
第三种方式增加token, 第三方访问时没法读取cookie  
第四种方式判断refer, 来源是否来自第三方网站

## 6. Cookies的作用是什么 ##

从技术上讲, 从浏览器端存储数据, 这个量不会很大, 可能用存储一些网站的配置, 比如偏好, 个性化选择等等, 用户身份的标识, 做一些分析统计等等, 总之放到本地存储的需求都可以放到cookie中.

## 7. Cookies和localstorage的区别: ##

> 兼容性区别, localstorage是H5新增的, 低版本ie不支持  
> cookie在请求时自动带上, 不需要手工发送, localst无法手动发送  
> cookie可以指定过期时间, 时间到了自动失效, localst没有这样机制, 需要我们做删除动作

## 8. Cookies跟session的关系: ##

> session是在服务端实现的, 用来登录时有些登录态需要关注, 它需要有个标识, 需要你告诉我这个人对应的是哪个人  
> 这个标识一般给到cookie里面, 下一次访问时带上  
> session是基于cookie的存储来实现的