中国深圳航空公司官方网站,学做软件的网站有哪些内容,自己做网站制作需要多少钱,wordpress引用fa图标csrf和xss的网络攻击及防范#xff1f;答#xff1a;CSRF#xff1a;跨站请求伪造#xff0c;可以理解为攻击者盗用了用户的身份#xff0c;以用户的名义发送了恶意请求#xff0c;比如用户登录了一个网站后#xff0c;立刻在另一个#xff54;#xff41;#xff42… csrf和xss的网络攻击及防范答CSRF跨站请求伪造可以理解为攻击者盗用了用户的身份以用户的名义发送了恶意请求比如用户登录了一个网站后立刻在另一个页面访问量攻击者用来制造攻击的网站这个网站要求访问刚刚登陆的网站并发送了一个恶意请求这时候CSRF就产生了比如这个制造攻击的网站使用一张图片但是这种图片的链接却是可以修改数据库的这时候攻击者就可以以用户的名义操作这个数据库防御方式的话使用验证码检查https头部的refer使用tokenXSS跨站脚本攻击是说攻击者通过注入恶意的脚本在用户浏览网页的时候进行攻击比如获取cookie或者其他用户身份信息可以分为存储型和反射型存储型是攻击者输入一些数据并且存储到了数据库中其他浏览者看到的时候进行攻击反射型的话不存储在数据库中往往表现为将攻击代码放在url地址的请求参数中防御的话为cookie设置httpOnly属性对用户的输入进行检查进行特殊字符过滤。2.怎么看网站的性能如何答检测页面加载时间一般有两种方式一种是被动去测就是在被检测的页面置入脚本或探针当用户访问网页时探针自动采集数据并传回数据库进行分析另一种主动监测的方式即主动的搭建分布式受控环境模拟用户发起页面访问请求主动采集性能数据并分析在检测的精准度上专业的第三方工具效果更佳比如说性能极客。3.介绍HTTP协议(特征)答HTTP是一个基于TCP/IP通信协议来传递数据HTML 文件, 图片文件, 查询结果等HTTP是一个属于应用层的面向对象的协议由于其简捷、快速的方式适用于分布式超媒体信息系统。它于1990年提出经过几年的使用与发展得到不断地完善和扩展。目前在WWW中使用的是HTTP/1.0的第六版HTTP/1.1的规范化工作正在进行之中而且HTTP-NG(Next Generation of HTTP)的建议已经提出。HTTP协议工作于客户端-服务端架构为上。浏览器作为HTTP客户端通过URL向HTTP服务端即WEB服务器发送所有请求。Web服务器根据接收到的请求后向客户端发送响应信息。4.输入URL到页面加载显示完成发生了什么?答DNS解析TCP连接发送HTTP请求服务器处理请求并返回HTTP报文浏览器解析渲染页面连接结束5.说一下对Cookie和Session的认知Cookie有哪些限制答1.cookie数据存放在客户的浏览器上session数据放在服务器上。2.cookie不是很安全别人可以分析存放在本地的COOKIE并进行COOKIE欺骗 考虑到安全应当使用session。3.session会在一定时间内保存在服务器上。当访问增多会比较占用你服务器的性能 考虑到减轻服务器性能方面应当使用COOKIE。4.单个cookie保存的数据不能超过4K很多浏览器都限制一个站点最多保存20个cookie。6.描述一下XSS和CRSF攻击防御方法答XSS, 即为Cross Site Scripting, 中文名为跨站脚本, 是发生在目标用户的浏览器层面上的当渲染DOM树的过程成发生了不在预期内执行的JS代码时就发生了XSS攻击。大多数XSS攻击的主要方式是嵌入一段远程或者第三方域上的JS代码。实际上是在目标网站的作用域下执行了这段js代码。CSRFCross Site Request Forgery跨站请求伪造字面理解意思就是在别的站点伪造了一个请求。专业术语来说就是在受害者访问一个网站时其 Cookie 还没有过期的情况下攻击者伪造一个链接地址发送受害者并欺骗让其点击从而形成 CSRF 攻击。XSS防御的总体思路是对输入(和URL参数)进行过滤对输出进行编码。也就是对提交的所有内容进行过滤对url中的参数进行过滤过滤掉会导致脚本执行的相关内容然后对动态输出到页面的内容进行html编码使脚本无法在浏览器中执行。虽然对输入过滤可以被绕过但是也还是会拦截很大一部分的XSS攻击。防御CSRF 攻击主要有三种策略验证 HTTP Referer 字段在请求地址中添加 token 并验证在 HTTP 头中自定义属性并验证。7.具体有哪些请求头是跟缓存相关的答缓存分为两种强缓存和协商缓存根据响应的header内容来决定。强缓存相关字段有expirescache-control。如果cache-control与expires同时存在的话cache-control的优先级高于expires。协商缓存相关字段有Last-Modified/If-Modified-SinceEtag/If-None-Match8.cookie有哪些字段可以设置答:name字段为一个cookie的名称。value字段为一个cookie的值。domain字段为可以访问此cookie的域名。非顶级域名如二级域名或者三级域名设置的cookie的domain只能为顶级域名或者二级域名或者三级域名本身不能设置其他二级域名的cookie否则cookie无法生成。顶级域名只能设置domain为顶级域名不能设置为二级域名或者三级域名否则cookie无法生成。二级域名能读取设置了domain为顶级域名或者自身的cookie不能读取其他二级域名domain的cookie。所以要想cookie在多个二级域名中共享需要设置domain为顶级域名这样就可以在所有二级域名里面或者到这个cookie的值了。 顶级域名只能获取到domain设置为顶级域名的cookie其他domain设置为二级域名的无法获取。path字段为可以访问此cookie的页面路径。比如domain是abc.com,path是/test那么只有/test路径下的页面可以读取此cookie。expires/Max-Age 字段为此cookie超时时间。若设置其值为一个时间那么当到达此时间后此cookie失效。不设置的话默认值是Session意思是cookie会和session一起失效。当浏览器关闭(不是浏览器标签页而是整个浏览器) 后此cookie失效。Size字段 此cookie大小。http字段 cookie的httponly属性。若此属性为true则只有在http请求头中会带有此cookie的信息而不能通过document.cookie来访问此cookie。secure 字段 设置是否只能通过https来传递此条cookie9.除了cookie还有什么存储方式。说说cookie和localStorage的区别?答还有localStoragesessionStorageindexdDB等cookie和localStorage的区别cookie数据始终在同源的http请求中携带(即使不需要)即cookie在浏览器和服务器间来回传递cookie数据还有路径path的概念可以限制。cookie只属于某个路径下存储大小限制也不同cookie数据不能超过4K同时因为每次http请求都会携带cookie所以cookie只适合保存很小的数据如回话标识。localStorage虽然也有存储大小的限制但是比cookie大得多可以达到5M或更大localStorage始终有效窗口或浏览器关闭也一直保存因此用作持久数据cookie只在设置的cookie过期时间之前一直有效即使窗口和浏览器关闭。10.HTML5和CSS3用的多吗你了解它们的新属性吗有在项目中用过吗答html51标签增删8个语义元素 header p footer aside nav main article figure内容元素mark高亮 progress进度新的表单控件calander date time email url search新的input类型 color date datetime datetime-local email移除过时标签big font frame frameset2canvas绘图支持内联SVG。支持MathML3多媒体audio video source embed track4本地离线存储把需要离线存储在本地的文件列在一个manifest配置文件5web存储。localStorage、SessionStoragecss3CSS3边框如border-radiusbox-shadow等CSS3背景如background-sizebackground-origin等CSS3 2D3D转换如transform等CSS3动画如animation等。注意本文答案仅作为参考关注公众号后台回复“java高级进阶”免费获取Java高级进阶全套资料(分布式微服务技术文档简历模板)
