php面试题-2021-php安全篇

CDN 劫持

cdn 是什么

CDN又叫内容分发网络，主要是提高网站的速度，可以优化网站的访问速度，提高网站的安全性和稳定性。
CDN能加速大家都知道，其实，CDN本身就是一种DNS劫持，只不过是良性的。
不同于黑客强制DNS把域名解析到自己的钓鱼IP上。
CDN是让DNS主动配合，把域名解析到临近的服务器上，同时服务器开启了HTTP代理，让用户感觉不到CDN的存在。
不过CDN劫持不像黑客那样贪心，劫持用户所有流量，它只“劫持”用户的静态资源访问，对于之前用户访问过的资源，CDN将直接从本地缓存里反馈给用户，因此速度有了很大的提升。

如何防御

通过https加密可以防止CDN劫持，把所有的内容加密起来，在传输过程中，任何劫持者都不能探测到实际传输交互的内容。自然也就能防止劫持了。

XSS 攻击

XSS（Cross Site Scripting，跨站脚本攻击）
XSS 全称“跨站脚本”，是注入攻击的一种。其特点是不对服务器端造成任何伤害，而是通过一些正常的站内交互途径，例如发布评论，提交含有 JavaScript 的内容文本。这时服务器端如果没有过滤或转义掉这些脚本，作为内容发布到了页面上，其他用户访问这个页面的时候就会运行这些脚本。也可以是盗号或者其他未授权的操作。

如何防御 XSS 攻击？

理论上，所有可输入的地方没有对输入数据进行处理的话，都会存在XSS漏洞ÿ