php面试题-2021-php安全篇

CDN 劫持

cdn 是什么

CDN又叫内容分发网络,主要是提高网站的速度,可以优化网站的访问速度,提高网站的安全性和稳定性。
CDN能加速大家都知道,其实,CDN本身就是一种DNS劫持,只不过是良性的。
不同于黑客强制DNS把域名解析到自己的钓鱼IP上。
CDN是让DNS主动配合,把域名解析到临近的服务器上,同时服务器开启了HTTP代理,让用户感觉不到CDN的存在。
不过CDN劫持不像黑客那样贪心,劫持用户所有流量,它只“劫持”用户的静态资源访问,对于之前用户访问过的资源,CDN将直接从本地缓存里反馈给用户,因此速度有了很大的提升。

如何防御

通过https加密可以防止CDN劫持,把所有的内容加密起来,在传输过程中,任何劫持者都不能探测到实际传输交互的内容。自然也就能防止劫持了。

XSS 攻击

XSS(Cross Site Scripting,跨站脚本攻击)
XSS 全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论,提交含有 JavaScript 的内容文本。这时服务器端如果没有过滤或转义掉这些脚本,作为内容发布到了页面上,其他用户访问这个页面的时候就会运行这些脚本。也可以是盗号或者其他未授权的操作。

如何防御 XSS 攻击?

理论上,所有可输入的地方没有对输入数据进行处理的话,都会存在XSS漏洞ÿ

你可能感兴趣的:(php面试)