随风丶逆风
随风丶逆风

前端面试知识点大全——web安全篇

总纲:前端面试知识点大全

目录

1.xss(跨站脚本攻击)

1.1 概念

1.2 防御手段

2.csrf(跨站请求伪造)

2.1 概念

2.2 CSRF防御

3. SQL注入

3.1 概念

3.2 防御手段

4.DDOS

4.1 概念

4.2 例子

4.3 解决方案

1.xss(跨站脚本攻击)

1.1 概念

跨站脚本攻击(Cross-Site Scripting,XSS)是指通过存在安全漏洞的Web 网站注册用户的浏览器内运行非法的 HTML 标签或 JavaScript 进行的一种攻击。动态创建的 HTML 部分有可能隐藏着安全漏洞。就这样,攻击者编写脚本设下陷阱,用户在自己的浏览器上运行时,一不小心就会受到被动攻击。

跨站脚本攻击有可能造成以下影响:1、利用虚假输入表单骗取用户个人信息;2、利用脚本窃取用户的 Cookie 值,被害者在不知情的情况下,帮助攻击者发送恶意请求;3、显示伪造的文章或图片。

例如在动态生成 HTML 处发生,input、textarea等

前端面试知识点大全——web安全篇_第1张图片

1.2 防御手段

将用户所提供的内容进行过滤。

1、对于输入:检测是否有script.img.等标签

2、对于输出:转义字符<转义成< >转义成>

3、设置cookie的httponly属性为true,则js无法通过document.cookie访问

4、又或者使用

你可能感兴趣的:(前端面试知识点大全,前端面试知识点大全)

  • 前端面试知识点大全——性能优化篇 随风丶逆风 前端面试知识点大全前端面试知识点大全
    总纲:前端面试知识点大全目录1.你会用什么工具来查找代码中的性能问题?2.调试工具3.增强网站的页面滚动效能3.1不要随便让页面进入合成3.2高性能滚动scroll及页面渲染优化4.重排,重绘,合成4.1概念4.2优化方式5.合成层6.前端优化方法(包括前后端优化)6.1后端优化6.2前端优化方式之一6.3前端优化方式之二7.前后端分离7.1分离(ajax的单页应用):7.2不分离(模板渲染):7
  • 前端面试知识点大全—CSS篇 大灰狼的小绵羊哥哥 【前端面试点滴知识
    1、css的display:none和visibility:hidden区别display:none使用后,元素的宽度,高度都会丢失,视为不存在不加载;元素原来占据的空间位置不保留;产生回流和重绘;visibility:hidden:视觉上的不可见,但是保留占据的空间,还具有宽度和高度;2、box-sizing:content-box||border-box||inheritcontent-box
  • 前端面试知识点大全——CSS篇(一) 随风丶逆风 前端面试知识点大全CSS前端面试知识点大全
    总纲:前端面试知识点大全目录1.CSS中类(class)和ID的区别2.请问"resetting"和"normalizing"CSS之间的区别?你会如何选择,为什么?3.请解释浮动(Floats)及其工作原理4.清除浮动5.描述z-index和叠加上下文是如何形成的?6.请描述BFC(BlockFormattingContext,块格式化上下文)及其如何工作?6.1BFC布局规则:6.2会形成BF
  • 前端面试知识点大全——CSS篇(二) 随风丶逆风 前端面试知识点大全CSS前端面试知识点大全
    总纲:前端面试知识点大全目录1.如何为有功能限制的浏览器提供网页?2.有哪些的隐藏内容的方法?3.栅格系统(gridsystem)3.1Bootstrap3.2Grid布局4.你用过媒体查询,或针对移动端的布局CSS吗?5.如何优化网页的打印样式?6.在书写高效CSS时会有哪些问题需要考虑?7.使用CSS预处理器的优缺点有哪些?8.如果设计中使用了非标准的字体,你该如何去实现?9.请解释浏览器是如
  • 前端面试知识点大全——JS篇(一) 随风丶逆风 前端面试知识点大全JavaScript前端面试知识点大全
    总纲:前端面试知识点大全目录1.事件代理2.请解释JavaScript中this是如何工作的3.javascript继承3.1原型链继承3.2构造函数继承3.3组合继承(构造函数继承和原型链继承的结合)3.4寄生组合继承(目前最优)3.5ES6继承3.6ES6与ES5继承的区别4.为何ObjectinstanceofFunction和FunctioninstanceofObject都返回true?
  • 前端面试知识点大全——web安全篇 随风丶逆风 前端面试知识点大全前端面试知识点大全
    总纲:前端面试知识点大全目录1.xss(跨站脚本攻击)1.1概念1.2防御手段2.csrf(跨站请求伪造)2.1概念2.2CSRF防御3.SQL注入3.1概念3.2防御手段4.DDOS4.1概念4.2例子4.3解决方案1.xss(跨站脚本攻击)1.1概念跨站脚本攻击(Cross-SiteScripting,XSS)是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaS
  • 前端面试知识点大全——JS篇(三) 随风丶逆风 前端面试知识点大全JavaScript前端面试知识点大全
    总纲:前端面试知识点大全目录1.变量声明提升2.冒泡机制3.attribute和property4.documentload和documentDOMContentLoaded5.同源策略(same-originpolicy)6.strict模式7.请解释什么是单页应用(singlepageapp),以及如何使其对搜索引擎友好(SEO-friendly)8.Promise8.1then()方法8.2
  • 前端面试知识点大全——html篇 大灰狼的小绵羊哥哥 【前端面试点滴知识
    指定字符集向搜索引擎说明你的网页的关键词告诉搜索引擎你的站点的主要内容告诉搜索引擎你的站点的制作的作者响应式页面定时让网页在3秒内跳转到mozilla首页(http-equiv属性为名称/值对提供了名称。并指示服务器在发送实际的文档之前先在要传送给浏览器的MIME文档头部包含名称/值对。)如果安装了GCF(GoogleChromeFrame),则使用GCF来渲染页面("chrome=1"),如果没
  • 前端面试知识点大全——HTTP协议篇(一) 随风丶逆风 前端通信前端面试知识点大全前端面试知识点大全
    总纲:前端面试知识点大全目录1.为什么传统上利用多个域名来提供网站资源会更有效1.1常规原因1.2非常规原因1.3具体细说2.Long-Polling、Websockets和Server-SentEvent2.1AJAXPolling,普通轮询2.2AJAXLong-Polling2.3HTML5ServerSentEvents(SSE)/EventSource,不是http2.0中的服务器推送2
  • 遍历dom 并且存储(将每一层的DOM元素存在数组中) 换个号韩国红果果 JavaScripthtml
    数组从0开始!! var a=[],i=0; for(var j=0;j<30;j++){ a[j]=[];//数组里套数组,且第i层存储在第a[i]中 } function walkDOM(n){ do{ if(n.nodeType!==3)//筛选去除#text类型 a[i].push(n); //con
  • Android+Jquery Mobile学习系列(9)-总结和代码分享 白糖_ JQuery Mobile
    目录导航   经过一个多月的边学习边练手,学会了Android基于Web开发的毛皮,其实开发过程中用Android原生API不是很多,更多的是HTML/Javascript/Css。   个人觉得基于WebView的Jquery Mobile开发有以下优点: 1、对于刚从Java Web转型过来的同学非常适合,只要懂得HTML开发就可以上手做事。 2、jquerym
  • impala参考资料 dayutianfei impala
    记录一些有用的Impala资料   1. 入门资料 >>官网翻译:     http://my.oschina.net/weiqingbin/blog?catalog=423691   2. 实用进阶 >>代码&架构分析:     Impala/Hive现状分析与前景展望:http
  • JAVA 静态变量与非静态变量初始化顺序之新解 周凡杨 java静态非静态顺序
    今天和同事争论一问题,关于静态变量与非静态变量的初始化顺序,谁先谁后,最终想整理出来!测试代码: import java.util.Map; public class T { public static T t = new T(); private Map map = new HashMap(); public T(){ System.out.println(&quo
  • 跳出iframe返回外层页面 g21121 iframe
    在web开发过程中难免要用到iframe,但当连接超时或跳转到公共页面时就会出现超时页面显示在iframe中,这时我们就需要跳出这个iframe到达一个公共页面去。 首先跳转到一个中间页,这个页面用于判断是否在iframe中,在页面加载的过程中调用如下代码: <script type="text/javascript"> //<!-- function
  • JAVA多线程监听JMS、MQ队列 510888780 java多线程
    背景:消息队列中有非常多的消息需要处理,并且监听器onMessage()方法中的业务逻辑也相对比较复杂,为了加快队列消息的读取、处理速度。可以通过加快读取速度和加快处理速度来考虑。因此从这两个方面都使用多线程来处理。对于消息处理的业务处理逻辑用线程池来做。对于加快消息监听读取速度可以使用1.使用多个监听器监听一个队列;2.使用一个监听器开启多线程监听。 对于上面提到的方法2使用一个监听器开启多线
  • 第一个SpringMvc例子 布衣凌宇 spring mvc
    第一步:导入需要的包; 第二步:配置web.xml文件 <?xml version="1.0" encoding="UTF-8"?> <web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi=
  • 我的spring学习笔记15-容器扩展点之PropertyOverrideConfigurer aijuans Spring3
    PropertyOverrideConfigurer类似于PropertyPlaceholderConfigurer,但是与后者相比,前者对于bean属性可以有缺省值或者根本没有值。也就是说如果properties文件中没有某个bean属性的内容,那么将使用上下文(配置的xml文件)中相应定义的值。如果properties文件中有bean属性的内容,那么就用properties文件中的值来代替上下
  • 通过XSD验证XML antlove xmlschemaxsdvalidationSchemaFactory
    1. XmlValidation.java package xml.validation; import java.io.InputStream; import javax.xml.XMLConstants; import javax.xml.transform.stream.StreamSource; import javax.xml.validation.Schem
  • 文本流与字符集 百合不是茶 PrintWrite()的使用字符集名字 别名获取
    文本数据的输入输出;           输入;数据流,缓冲流         输出;介绍向文本打印格式化的输出PrintWrite();   package 文本流; import java.io.FileNotFound
  • ibatis模糊查询sqlmap-mapping-**.xml配置 bijian1013 ibatis
            正常我们写ibatis的sqlmap-mapping-*.xml文件时,传入的参数都用##标识,如下所示: <resultMap id="personInfo" class="com.bijian.study.dto.PersonDTO"> <res
  • java jvm常用命令工具——jdb命令(The Java Debugger) bijian1013 javajvmjdb
            用来对core文件和正在运行的Java进程进行实时地调试,里面包含了丰富的命令帮助您进行调试,它的功能和Sun studio里面所带的dbx非常相似,但 jdb是专门用来针对Java应用程序的。         现在应该说日常的开发中很少用到JDB了,因为现在的IDE已经帮我们封装好了,如使用ECLI
  • 【Spring框架二】Spring常用注解之Component、Repository、Service和Controller注解 bit1129 controller
    在Spring常用注解第一步部分【Spring框架一】Spring常用注解之Autowired和Resource注解(http://bit1129.iteye.com/blog/2114084)中介绍了Autowired和Resource两个注解的功能,它们用于将依赖根据名称或者类型进行自动的注入,这简化了在XML中,依赖注入部分的XML的编写,但是UserDao和UserService两个bea
  • cxf wsdl2java生成代码super出错,构造函数不匹配 bitray super
        由于过去对于soap协议的cxf接触的不是很多,所以遇到了也是迷糊了一会.后来经过查找资料才得以解决. 初始原因一般是由于jaxws2.2规范和jdk6及以上不兼容导致的.所以要强制降为jaxws2.1进行编译生成.我们需要少量的修改: 我们原来的代码 wsdl2java com.test.xxx -client http://..... 修改后的代
  • 动态页面正文部分中文乱码排障一例 ronin47
    公司网站一部分动态页面,早先使用apache+resin的架构运行,考虑到高并发访问下的响应性能问题,在前不久逐步开始用nginx替换掉了apache。 不过随后发现了一个问题,随意进入某一有分页的网页,第一页是正常的(因为静态化过了);点“下一页”,出来的页面两边正常,中间部分的标题、关键字等也正常,唯独每个标题下的正文无法正常显示。 因为有做过系统调整,所以第一反应就是新上
  • java-54- 调整数组顺序使奇数位于偶数前面 bylijinnan java
    import java.util.Arrays; import java.util.Random; import ljn.help.Helper; public class OddBeforeEven { /** * Q 54 调整数组顺序使奇数位于偶数前面 * 输入一个整数数组,调整数组中数字的顺序,使得所有奇数位于数组的前半部分,所有偶数位于数组的后半
  • 从100PV到1亿级PV网站架构演变 cfyme 网站架构
    一个网站就像一个人,存在一个从小到大的过程。养一个网站和养一个人一样,不同时期需要不同的方法,不同的方法下有共同的原则。本文结合我自已14年网站人的经历记录一些架构演变中的体会。 1:积累是必不可少的 架构师不是一天练成的。 1999年,我作了一个个人主页,在学校内的虚拟空间,参加了一次主页大赛,几个DREAMWEAVER的页面,几个TABLE作布局,一个DB连接,几行PHP的代码嵌入在HTM
  • [宇宙时代]宇宙时代的GIS是什么? comsci Gis
           我们都知道一个事实,在行星内部的时候,因为地理信息的坐标都是相对固定的,所以我们获取一组GIS数据之后,就可以存储到硬盘中,长久使用。。。但是,请注意,这种经验在宇宙时代是不能够被继续使用的          宇宙是一个高维时空
  • 详解create database命令 czmmiao database
    完整命令 CREATE DATABASE mynewdb   USER SYS IDENTIFIED BY sys_password   USER SYSTEM IDENTIFIED BY system_password   LOGFILE GROUP 1 ('/u01/logs/my/redo01a.log','/u02/logs/m
  • 几句不中听却不得不认可的话 datageek
    1、人丑就该多读书。 2、你不快乐是因为:你可以像猪一样懒,却无法像只猪一样懒得心安理得。 3、如果你太在意别人的看法,那么你的生活将变成一件裤衩,别人放什么屁,你都得接着。 4、你的问题主要在于:读书不多而买书太多,读书太少又特爱思考,还他妈话痨。 5、与禽兽搏斗的三种结局:(1)、赢了,比禽兽还禽兽。(2)、输了,禽兽不如。(3)、平了,跟禽兽没两样。结论:选择正确的对手很重要。 6
  • 1 14:00 PHP中的“syntax error, unexpected T_PAAMAYIM_NEKUDOTAYIM”错误 dcj3sjt126com PHP
    原文地址:http://www.kafka0102.com/2010/08/281.html   因为需要,今天晚些在本机使用PHP做些测试,PHP脚本依赖了一堆我也不清楚做什么用的库。结果一跑起来,就报出类似下面的错误:“Parse error: syntax error, unexpected T_PAAMAYIM_NEKUDOTAYIM in /home/kafka/test/
  • xcode6 Auto layout and size classes dcj3sjt126com ios
    官方GUI   https://developer.apple.com/library/ios/documentation/UserExperience/Conceptual/AutolayoutPG/Introduction/Introduction.html   iOS中使用自动布局(一)   http://www.cocoachina.com/ind
  • 通过PreparedStatement批量执行sql语句【sql语句相同,值不同】 梦见x光 sql事务批量执行
    比如说:我有一个List需要添加到数据库中,那么我该如何通过PreparedStatement来操作呢? public void addCustomerByCommit(Connection conn , List<Customer> customerList) {    String sql = "inseret into customer(id
  • 程序员必知必会----linux常用命令之十【系统相关】 hanqunfeng Linux常用命令
    一.linux快捷键 Ctrl+C : 终止当前命令 Ctrl+S : 暂停屏幕输出 Ctrl+Q : 恢复屏幕输出 Ctrl+U : 删除当前行光标前的所有字符 Ctrl+Z : 挂起当前正在执行的进程 Ctrl+L : 清除终端屏幕,相当于clear   二.终端命令 clear : 清除终端屏幕 reset : 重置视窗,当屏幕编码混乱时使用 time com
  • NGINX IXHONG nginx
    pcre 编译安装 nginx conf/vhost/test.conf   upstream admin { server 127.0.0.1:8080; }   server {                 listen       80; &
  • 设计模式--工厂模式 kerryg 设计模式
    工厂方式模式分为三种:   1、普通工厂模式:建立一个工厂类,对实现了同一个接口的一些类进行实例的创建。   2、多个工厂方法的模式:就是对普通工厂方法模式的改进,在普通工厂方法模式中,如果传递的字符串出错,则不能正确创建对象,而多个工厂方法模式就是提供多个工厂方法,分别创建对象。   3、静态工厂方法模式:就是将上面的多个工厂方法模式里的方法置为静态,
  • Spring InitializingBean/init-method和DisposableBean/destroy-method mx_xiehd javaspringbeanxml
    1.initializingBean/init-method 实现org.springframework.beans.factory.InitializingBean接口允许一个bean在它的所有必须属性被BeanFactory设置后,来执行初始化的工作,InitialzingBean仅仅指定了一个方法。 通常InitializingBean接口的使用是能够被避免的,(不鼓励使用,因为没有必要
  • 解决Centos下vim粘贴内容格式混乱问题 qindongliang1922 centosvim
    有时候,我们在向vim打开的一个xml,或者任意文件中,拷贝粘贴的代码时,格式莫名其毛的就混乱了,然后自己一个个再重新,把格式排列好,非常耗时,而且很不爽,那么有没有办法避免呢? 答案是肯定的,设置下缩进格式就可以了,非常简单: 在用户的根目录下 直接vi  ~/.vimrc文件 然后将set pastetoggle=<F9> 写入这个文件中,保存退出,重新登录,
  • netty大并发请求问题 tianzhihehe netty
    多线程并发使用同一个channel java.nio.BufferOverflowException: null at java.nio.HeapByteBuffer.put(HeapByteBuffer.java:183) ~[na:1.7.0_60-ea] at java.nio.ByteBuffer.put(ByteBuffer.java:832) ~[na:1.7.0_60-ea]
  • Hadoop NameNode单点问题解决方案之一 AvatarNode wyz2009107220 NameNode
    我们遇到的情况 Hadoop NameNode存在单点问题。这个问题会影响分布式平台24*7运行。先说说我们的情况吧。 我们的团队负责管理一个1200节点的集群(总大小12PB),目前是运行版本为Hadoop 0.20,transaction logs写入一个共享的NFS filer(注:NetApp NFS Filer)。 经常遇到需要中断服务的问题是给hadoop打补丁。 DataNod