常见前端安全问题总结

Posted 火星写程序

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了常见前端安全问题总结相关的知识,希望对你有一定的参考价值。

一、XSS攻击

全称跨站脚本攻击,简称XSS攻击,攻击者通过在目标网站上HTML注入篡改网页来插入恶意脚本,

当用户在浏览网页时获取用户的cookie等敏感信息,进一步做一些其他危害的操作。

根据攻击的来源,该攻击还可以分为:

1)存储型攻击:一般是在有评论功能的网站将恶意代码当作评论内容存储到服务端,受害者再次浏览网页,就会自动解

         析评论内容并执行,比较简单是输入一个三方服务器的脚本(发送一个请求都三方服务器)到评论区,其他用户查看时,

           就会获取这个脚本,并执行脚本的内容,就可以获取到用户的cookie

2)反射型攻击:也称为非持久型XSS,恶意代码并没有存储到目标网站的服务器中,而是通过一个具有诱惑性的链接跳转到目标网站,

         当然这个链接除了正常的参数外还会有恶意代码,经常用来获取cookie;比如用户现在登陆了A网站,

         然后在其他网站看到一个一刀万点暴击的游戏链接(链接中模拟原网站的搜索接口同时在参数中下发了一个请求),然后被动跳转到目标网站,

         目标网站将恶意代码返回到页面被浏览器执行,就可以被获取到cookie信息

3)DOM型攻击:与前两种不同,不需要和服务端进行交互,攻击者构建被攻击网站的URL,URL参数中包含可执行的语句,比如eval或者innerHTML,通过诱惑性

        的链接访问该连接后就可以执行恶意代码

防范措施:

1)前端进行输入过滤,将特殊字符进行转义或者输入限制,同时后端对特殊字符进行转义

2)设置HttpOnly,XSS的攻击目标主要是获取用户的cookie,设置此属性可以防止获取cookie

3)开启CSP,为页面的内容安全制定一系列防护措施,通过CSP可以指定资源文件的来源,避免跨域操作等

 

二、CSRF攻击

跨站请求伪造,攻击者获取到用户的cookie等登陆信息后,模拟网站请求进行攻击操作,比如删除帖子、银行转账

防范措施:

1)数据修改的请求尽量使用post而不是get请求

2)服务端判断请求头中Refer或者Origin的来源,对非本网站的进行过滤

3)用户登陆后,生成一个有时效的随机token,每个请求发起时携带该token,服务端判断token的真实性,这种token攻击者无法伪造

前端,面试常见问题总结

1、CSS页面布局,基本会被问到的我都写在下面了,当然一种布局的实现方式有n多种,了解的越多越好,flex、BFC什么的都是要掌握并且会用的。

<style type="text/css">
    body{      
        margin:0;/*上右下左*/
        padding:0;  
        width:100%;  
        height:100%;  
    }
    /*上下左右居中,ok*/
    .box{ 
        width: 100px;
        height: 100px;
        position:absolute;
        left:0;
        right:0;
        top:0;
        bottom:0;
        margin:auto; 
        background-color: #3FAD72;
    }
    /*上下居中*/
    .box1{
        position: absolute;
        top: 50%;
        height: 200px;
        transform: translateY(-50%);
        /*margin-top: -100px;  negative half of the height */
        background-color: #3FAD72;

    }
    /*左右居中*/
    .box2{
        position: absolute;
        left: 50%;
        width: 200px;
        margin-left: -100px; /* negative half of the height */
        background-color: #3FAD72;

    }
    .box3{/*文字垂直居中*/
        height:40px;   
        line-height:40px;   
        overflow:hidden; 
        background-color: #3FAD72;  
    }
    /*左边固定宽度,右边自适应*/
    .left{
        width:100px;
        display:block;
        float: left;
        text-align: right;
        background-color: #3FAD72;
    }
    .right{
        list-style: none;
        margin-left: 120px;/*两列之间留有20px*/
        -webkit-user-select: none;
        background-color: #3FAD00;
    }
    /*http://jo2.org/css-auto-adapt-width/*/
    /*右边固定宽度,左边自适应*/
    #wrap {
        overflow: hidden; *zoom: 1;
        position: relative;
      }
      #content ,#sidebar {
        background-color: #eee; 
      }
      #sidebar {
         width: 300px; position: absolute; right: 0; top: 0;
      }
      #content {
        margin-right: 310px;display: inline-block;
      }
      #footer {background-color: #f00;color:#fff; margin-top: 1em;}
</style>

2、px、em、rem、%、<meta> 标签、@media、viewport 这几个前端像素单位怎么用?怎么实现 webapp 移动端自适应?

webapp移动端自适应是一个常见问题,很多公司用的是rem/em/%这种方式(比如快手)。阿里之前出过一个flexible布局方案:https://github.com/amfe/lib-flexible ,专门解决移动端页面布局适配的,但是只有他们也放弃了这个库,并在github上介绍了另外一种基于 viewport 的适配方案:https://www.w3cplus.com/mobile/vw-layout-in-vue.html。阿里之前出的混合开发框架 weex 貌似也是用的这种方法,指定移动端页面大小为750*1134,然后根据设备不同自动计算页面的像素比例。

3、事件监听方法,比如发布订阅:

function Pubsub(){
//存放事件和对应的处理方法
this.handles = {};
 }
Pubsub.prototype={
  //传入事件类型type和事件处理handle
 on: function (type, handle) {
    if(!this.handles[type]){
        this.handles[type] = [];
   }
   this.handles[type].push(handle);
  },

  emit: function () {
   //通过传入参数获取事件类型
  var type = Array.prototype.shift.call(arguments);
   if(!this.handles[type]){
    return false;
   }
 for (var i = 0; i < this.handles[type].length; i++) {
    var handle = this.handles[type][i];
    //执行事件
   handle.apply(this, arguments);
   }
  },
  
  off: function (type, handle) {
   handles = this.handles[type];
   if(handles){
    if(!handle){
     handles.length = 0;//清空数组
   }else{
 for (var i = 0; i < handles.length; i++) {
      var _handle = handles[i];
      if(_handle === handle){
       handles.splice(i,1);
      }
     }
    }
   }
  }
}

4、call/bind/apply的不同点?如何实现call/apply/bind?下面写一个bind:

 //解决IE10以下不支持Function.bind
if (!Function.prototype.bind) {
    Function.prototype.bind = function(oThis) {
        if (typeof this !== "function") {
            throw new TypeError("Function.prototype.bind - what is trying to be bound is not callable");
        }
        var aArgs = Array.prototype.slice.call(arguments, 1),
            fToBind = this,
            fNOP = function() {},
            fBound = function() {
                return fToBind.apply(this instanceof fNOP && oThis ? this : oThis,
                    aArgs.concat(Array.prototype.slice.call(arguments)));
            };
        fNOP.prototype = this.prototype;
        fBound.prototype = new fNOP();
        return fBound;
    };
}
//或者
/*******************************
*bind函数在IE8中没有,兼容性代码:js权威指南(6th)P191
********************************/
if (!Function.prototype.bind) {
Function.prototype.bind = function (o/*, args*/) {
if (typeof this !== "function") {
// closest thing possible to the ECMAScript 5 internal IsCallable function 
throw new TypeError("Function.prototype.bind - what is trying to be bound is not callable"); 
}

var self=this, boundArgs=arguments;
return function(){
var args=[],i;
for(i=1; i<boundArgs.length; i++) args.push(boundArgs[i]);
for(i=0; i<arguments.length; i++) args.push(arguments[i]);

return self.apply(o, args);
};
}; 
}

注意:上面俩arguments是不同函数的参数,并不是同一个arguments。

5、js实现二分查找

//二分查找法
    var indexOfSorted = function f(arr,n){  
          //assume : arr has been sorted    
        var low = 0;   
        var high = arr.length - 1;   
        var mid = 0;   
          
         while(high - low >=0){  
            mid = (low + high) / 2;
            if(n == arr[low]){return low;}  
            if (n == arr[high]){return high;}  

            if(arr[mid] ==n ){return mid;}   
            else if(arr[mid] < n){ low = mid+1;  }   
            else { high = mid-1;  }   
        }    
            return -1;    
    }    

6、js判断两个字符串是否相互包含

//判断两个字符串是否互相包含的算法
        var str ="dawn";
        console.log(str.search("da")) //1,包含 
        console.log(str.search("dawnfly")) //-1,不包含

        var str ="dawn";
        console.log(str.indexOf("da")) //1,包含,indexOf() 方法对大小写敏感!
        console.log(str.indexOf("dawnfly")) //-1,不包含

        var str ="dawnfly.cn";
        var ret1 = new RegExp(‘dawn‘).test(str);//true
        var ret2 = new RegExp(‘dawnflyingnow‘).test(str);//false

7、变量初始化方法之一

console.log(null||1)//1
console.log(undefined||1)//1
console.log("str"||1)//str

8、js的深拷贝和浅拷贝,怎么实现深拷贝?

//深拷贝方法
function deepClone(o) {
    var obj = {};
    for (var i in o) {
        if (typeof o[i] === ‘object‘) {
            obj[i] = (o[i].constructor === Array) ? [] : {};
            arguments.callee(o[i], obj[i]);
        } else {
            obj[i] = o[i];
        }
    }
    return obj;
}

9、script 标签的 async 和 defer有什么作用和区别?如何自己实现异步加载js?

//异步加载js  
function getScript(url,callback){  
    var script = document.createElement("script");  
    script.type="text/javascript";  
    if(script.readyState){  
        script.onreadystatechange = function(){  
            if(script.readyState=="loaded"||script.readyState=="complete"){  
                script.onreadystatechange=null;  
                callback();  
            }  
        }  
    }else{  
        script.onload = function(){  
        callback();  
    }  
    }  
    script.src = url;  
    document.getElementsByTagName("head")[0].appendChild(script);  
} 

10、实现倒计时

function countTime() {  
    //获取当前时间  
    var date = new Date();  
    var now = date.getTime();  
    //设置截止时间  
    var str="2018/5/17 00:00:00";
    var endDate = new Date(str); 
    var end = endDate.getTime();  
    
    //时间差  
    var leftTime = end-now; 
    //定义变量 d,h,m,s保存倒计时的时间  
    var d,h,m,s;  
    if (leftTime>=0) {  
        d = Math.floor(leftTime/1000/60/60/24);  
        h = Math.floor(leftTime/1000/60/60%24);  
        m = Math.floor(leftTime/1000/60%60);  
        s = Math.floor(leftTime/1000%60);                     
    }  
    console.log("距离毕业还有"+d+"天"+h+"小时"+m+"分"+s+"秒")
    //递归每秒调用countTime方法,显示动态时间效果  
    setTimeout(countTime,1000);  
}

11、用css画各种三角形

<!DOCTYPE html>
<html>
<head>
<title></title>
<style type="text/css">
    #triangle-up {
        width: 0;
        height: 0;
        border-left: 50px solid transparent;
        border-right: 50px solid transparent;
        border-bottom: 100px solid red;float: left;
    }
    #triangle-down {
        width: 0;
        height: 0;
        border-left: 50px solid transparent;
        border-right: 50px solid transparent;
        border-top: 100px solid red;float: left;
    }
    #triangle-left {
        width: 0;
        height: 0;
        border-top: 50px solid transparent;
        border-right: 100px solid red;margin-right: 1px;
        border-bottom: 50px solid transparent;float: left;
    }
    #triangle-right {
        width: 0;
        height: 0;
        border-top: 50px solid transparent;
        border-left: 100px solid red;
        border-bottom: 50px solid transparent;float: left;
    }
    #triangle-topleft {
        width: 0;
        height: 0;
        border-top: 100px solid red;
        border-right: 100px solid transparent;float: left;
    }
    #triangle-topright {
        width: 0;
        height: 0;
        border-top: 100px solid red;margin-right: 1px;
        border-left: 100px solid transparent; float: left;
    }
    #triangle-bottomleft {
        width: 0;
        height: 0;
        border-bottom: 100px solid red;
        border-right: 100px solid transparent;float: left;
    }
    #triangle-bottomright {
        width: 0;
        height: 0;
        border-bottom: 100px solid red;
        border-left: 100px solid transparent;float: left;
    }
</style>
</head>
<body>
    <div id="triangle-up"></div>
    <div id="triangle-down"></div>
    <div id="triangle-left"></div>
    <div id="triangle-right"></div>
    <div id="triangle-topleft"></div>
    <div id="triangle-topright"></div>
    <div id="triangle-bottomleft"></div>
    <div id="triangle-bottomright"></div>
</body>
</html>

12、用css画圆

border-radius的应用

13、用css制作动画

学习css3 的transform、transition、keyframe、animation的用法。

14、js实现深度优先遍历和广度优先遍历

//深度优先遍历
function deepTraversal(node){
    let nodes=[];
    if(node!=null){
        let stack=[];//同来存放将来要访问的节点
        stack.push(node);
        while(stack.length!=0){
            let item=stack.pop();//正在访问的节点
            nodes.push(item);
            let childrens=item.children;
            for(let i=childrens.length-1;i>=0;i--)//将现在访问点的节点的子节点存入stack,供将来访问
                stack.push(childrens[i]);
        }
    }
    return nodes;
}
//广度优先遍历的非递归写法
function wideTraversal(node){
    let nodes=[],i=0;
    while(node!=null){
        nodes.push(node);
        node=nodes[i++];
        let childrens=node.children;
        for(let i=0;i<childrens.length;i++){
            nodes.push(childrens[i]);
        }
    }
    return nodes;
}

15、js实现快速排序(还有堆排序、归并排序……)

function QuickSort(arr){
    if(arr.length<=1){    return arr;  }
    var self = arguments.callee;
    var left = [],right = [],middle=[];
    var mid = arr[Math.floor(arr.length/2)];
    for(var i=0;i<arr.length;i++){    
        if(arr[i]<mid){
            left.push(arr[i])
        }else if(arr[i]>mid){
            right.push(arr[i]);
        }else{
            middle.push(arr[i]);
        }
    }
  return [].concat(self(left),middle,self(right));
}

16、随机生成n个不重复的数字

17、js的基本数据类型、es6的变量声明方式

18、promise的实现

19、vue如何实现双向绑定的?

20、变量提升和函数提升

//这段代码的执行结果是什么?
var b=1
    function a(){
        b++;
        console.log(b)
        var b=3;
        b++;
        console.log(b);
    }
    a();
//求下面的运行结果?
var x = 1, y = 0, z = 0;
var add = function (x) {
     return x = x+1;
}

y = add(x);
function add (x) {
     return x = x + 3;
}
z = add(x);

21、下面两段代码的执行结果是什么?区别?为什么?闭包?

for(var i = 0; i < 3; i++) {
document.body.addEventListener(‘click‘, fn);

}
function fn(i) {console.log(i)}
for(var i = 0; i < 3; i++) {
document.body.addEventListener(‘click‘, function(){console.log(i)});
}

21、函数节流和函数去抖

22、下面代码执行结果?为什么?

[] === []
[]==[]

23、时间复杂度和空间复杂度

24、时间复杂度和空间复杂度的理解

25、如何实现跨域,至少六种方法

26、如何实现异步,有哪些方法(至少四种),原理是什么?

27、如何实现数据存储

28、http1.0、http1.1、http2.0、https各自的特点、不同点、响应码?

29、cache-control、empire、e-tag、last-modified、if-matched等的用法和区别?

30、html页面解析过程,dom树、css树、render树、回流和重绘。


以上是关于常见前端安全问题总结的主要内容,如果未能解决你的问题,请参考以下文章

安全CSRF

业务安全漏洞总结

web 应用常见安全漏洞

前端知识点总结(综合篇)

前端常见问题总结

前端,面试常见问题总结