前端工程师面试知识库：网络安全相关

XSS CSRF

XSS(跨站脚本攻击)，恶意的注入html代码，其他用户访问时，会被执行 特点：能注入恶意的HTML/JavaScript代码到用户浏览的网页上，从而达到Cookie资料窃取、会话劫持、钓鱼欺骗等攻击 防御手段：

• 浏览器禁止页面的JS访问带有HttpOnly属性的Cookie
• 两端进行输入格式检查
• 通过编码转义的方式进行输出检查 CSRF(攻击跨站请求伪造) 特点：重要操作的所有参数都是可以被攻击者猜测到的。攻击者预测出URL的所有参数与参数值，才能成功地构造一个伪造的请求。 防御手段：
• token验证机制，比如请求数据字段中添加一个token，响应请求时校验其有效性
• 用户操作限制，比如验证码（繁琐，用户体验差）
• 请求来源限制，比如限制HTTP Referer才能完成操作（防御效果相比较差） 实践中常用第一种。