2020Web前端常见面试题及答案-每日三道题

问题：网页验证码是干嘛的，是为了解决什么安全问题？

解析：

（1）区分用户是计算机还是人的公共全自动程序。可以防止恶意破解密码、刷票、论坛灌水；
（2）有效防止黑客对某一个特定注册用户用特定程序暴力破解方式进行不断的登陆尝试；

问题：Cookie如何防范XSS攻击？
解析：XSS（跨站脚本攻击）是指攻击者在返回的HTML中嵌入javascript脚本，为了减轻这些攻击，需要在HTTP头部配上，set-cookie：
httponly-这个属性可以防止XSS,它会禁止javascript脚本来访问cookie。
secure - 这个属性告诉浏览器仅在请求为https的时候发送cookie。

问题：web上传漏洞原理？如何进行？防御手段？
解析：如何进行：用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。
主要原理：当文件上传时没有对文件的格式和上传用户做验证，导致任意用户可以上传任意文件，那么这就是一个上传漏洞。
防御手段：
1、最有效的，将文件上传目录直接设置为不可执行，对于Linux而言，撤销其目录的'x'权限；实际中很多大型网站的上传应用都会放置在独立的存储上作为静态文件处理，一是方便使用缓存加速降低能耗，二是杜绝了脚本执行的可能性；
2、文件类型检查：强烈推荐白名单方式，结合MIME Type、后缀检查等方式；此外对于图片的处理可以使用压缩函数或resize函数，处理图片的同时破坏其包含的HTML代码；
3、使用随机数改写文件名和文件路径，使得用户不能轻易访问自己上传的文件；
4、单独设置文件服务器的域名

以上就是酷仔今天整理提供的Web前端开发面试题，你都学会了吗？希望为Web前端同学提供了有用的面试素材，以后酷仔每日均会提供Python及Web相关的习题。