前端面试—安全类 前端安全方面面试题

前端安全分类：

1.CSRF

• 基本概念和缩写（通常称为跨站请求伪造，英文名Cross-site request forgery 缩写CSRF）
• 攻击原理（用户是网站A的一个注册用户即有用户名和密码，用户通过身份认证登录网站，登录后网站A核查身份是否正确，如果正确就下发cookie，cookie保存在用户浏览器中，这就完成了一次身份认证的过程。用户又访问了一个网站B，B在下发用户页面的时候会存在一个引诱的点击，点击往往是一个链接，指向网站A的api接口，尤其是GET类型，当用户点击了之后就访问到了A网站，浏览器自动上传了cookie，A验证后发现是合法用户就执行了这个api接口的动作）
• CSRF攻击的两个不可获取的因素：1.网站中某个接口存在漏洞 2.用户在此注册网站登录过（没登陆过网站会提示登录）
• CSRF防御措施（1.Token验证 2.Referer验证 -- [页面来源验证，服务器判断页面来源是不是我这个站点下的，是就执行动作，不是则进行拦截] 3.隐藏令牌 -- [和Token验证有点像，比如说隐藏在http head头中，不放在链接上]）

2.XSS

• 基本概念（XSS cross-site scripting 跨站脚本攻击）
• 攻击原理（向核心页面注入HTML，例如评论区是注入XSS最好的方式，在提交区里面注入script标签，写image标签并增加事件，总之，利用合法的渠道向你的页面注入js）
• 防御措施

①编码--对用户输入的数据进行HTML Entity编码

②过滤--移除用户上传的DOM属性(如onerror)、style节点、script节点、iframe节点等

③校正--避免直接对HTML Entity直接解码;使用DOM Parse解码,校正不配对的dom标签

CSRF和XSS攻击的区别：

1. XSS向页面注入js去运行，js函数体中去做一些事情
2. CSRF利用你本身漏洞帮你自动执行本身的接口，依赖于登录网站