第十六章(前端安全 面试真题)

面试真题

题目 1：XSS 攻击类型

XSS 攻击有哪些类型？

答案：

• 反射型 XSS：恶意代码在 URL 中
• 存储型 XSS：恶意代码存储到数据库
• DOM 型 XSS：操作 DOM 导致

题目 2：XSS 防御措施

如何防御 XSS 攻击？

答案：

• 输入过滤
• 输出编码
• 使用 CSP
• HTTP Only Cookie
• 使用框架自带防护（React、Vue）

题目 3：CSRF 原理

CSRF 攻击的原理是什么？

答案：

• 用户登录受信任网站
• 未登出访问恶意网站
• 恶意网站携带 Cookie 发请求
• 欺骗服务器执行操作

题目 4：CSRF 防御

如何防御 CSRF 攻击？

答案：

• Token 验证
• 双重 Cookie
• Referer 检查
• SameSite Cookie

题目 5：SQL 注入

什么是 SQL 注入？如何防御？

答案：

• 拼接 SQL 导致数据泄露
• 防御：参数化查询、使用 ORM

题目 6：点击劫持

什么是点击劫持？如何防御？

答案：

• 透明 iframe 覆盖合法按钮
• 防御：X-Frame-Options CSP

题目 7：中间人攻击

什么是中间人攻击？

答案：

• 拦截通信双方
• 窃取或篡改数据
• 防御：HTTPS 证书校验

题目 8：HTTPS 原理

HTTPS 的工作原理

答案：

• 证书验证
• 非对称加密传输对称密钥
• 对称加密传输数据
• 数字签名

题目 9：安全头

常用的安全响应头有哪些？

答案：

• X-Content-Type-Options
• X-Frame-Options
• X-XSS-Protection
• Content-Security-Policy
• Strict-Transport-Security

题目 10：密码安全

前端如何处理密码安全？

答案：

• 不在前端存储
• 使用 HTTPS 传输
• 密码复杂度要求
• 加密后传输（可选）

题目 11：JWT 安全

JWT 安全 considerations

答案：

• 短期有效期
• 存储在内存
• HTTPS 传输
• 防止 XSS 盗取

题目 12：越权访问

如何防止越权访问？

答案：

• 后端验证权限
• 前端检查角色
• 接口鉴权
• 最小权限原则

题目 13：CORS

CORS 是什么？如何安全配置？

答案：

• 跨域资源共享
• 限制来源
• 不使用 * 通配符
• 限制方法

题目 14：依赖安全

如何保证依赖安全？

答案：

• 定期更新依赖
• 使用 npm audit
• Snyk 检查漏洞
• 锁定期版本

题目 15：上传安全

文件上传需要注意什么？

答案：

• 文件类型验证
• 文件大小限制
• 重命名文件
• 存储在非 Web 目录

题目 16：SSRF

什么是 SSRF？如何防御？

答案：

• 服务端请求伪造
• 防御：限制请求来源、验证 URL