专栏首页迈向前端工程师前端测试题:有关于前端对web安全及防护说明,下面错误的是?

前端测试题:有关于前端对web安全及防护说明,下面错误的是?

考核内容:前端代码的安全性能优化

题发散度: ★★

试题难度: ★★

解题思路:

高级前端工程师要知道的web安全

一,sql注入

通过用户输入把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

前端表单页面书写时要注意:

  • 1. 永远不要信任用户的输入,要对用户的输入进行校验,可以通过正则表达式,或限制长度,对单双引号和大于小于号进行转换。
  • 2. 缓存中不要把机密信息明文存放,请加密或者hash掉密码和敏感的信息。

二,XSS攻击

Xss(cross-site scripting)攻击指的是攻击者往Web页面里插入恶意 html标签或者javascript代码

比如:攻击者在输入一个看似安全的链接,骗取用户点击后,窃取cookie中的用户私密信息;或者攻击者在网站中加一个恶意表单,当用户提交表单的时候,却把信息传送到攻击者的服务器中,而不是用户原本以为的信任站点。

前端页面书写时要注意:

  • 1. 代码里对用户输入的地方和变量都需要仔细检查长度和对”<”,”>”,”;”,”’”等字符做过滤;
  • 2. 通过使cookie 和系统ip 绑定来降低cookie泄露,避免直接在cookie 中泄露用户隐私,例如email、密码等等

三,私密数据传输尽量采用POST 而非GET 提交表单

  • GET 请求可被缓存,保留在浏览器历史记录中,可被收藏为书签
  • POST 请求不会被缓存,不会保留在浏览器历史记录中,不能被收藏为书签,编码类型为二进制数据使用多重编码。

与 POST 相比,GET 的安全性较差,因为所发送的数据是 URL 的一部分。

在发送密码或其他敏感信息时绝不要使用 GET !

以上除了FORM表单,还包含AJAX方法;

参考代码:

答案:错误的是

D. 尽量采用GET 而非POST 提交表单。

本文分享自微信公众号 - 迈向前端工程师(shukeh5),作者:舒克老湿

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-07-01

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 企业面试题: GET和POST的区别,何时使用POST?

    - GET:一般用于信息获取,使用URL传递参数,对所发送信息的数量也有限制,一般在2000个字符;

    舒克
  • JS基础测试: 在jQuery中,哪个方法可以解决'$'变量名冲突的问题?​

    许多 JavaScript 库使用 $ 作为函数或变量名,jQuery 也一样。在 jQuery 中,$ 仅仅是 jQuery 的别名,因此即使不使用 $ 也能...

    舒克
  • JS基础测试: typeof delete window.name 的返回结果是什么?​

    delete 操作符用于删除对象的某个属性;如果没有指向这个属性的引用,那它最终会被释放。

    舒克
  • 解决 | VS 2015右键项目添加新项中没有web窗体等选项

    刚装完的VS2015,打开网站之后右键项目添加新项时,没有web窗体,SQL Server数据库等选项,如:

    凌川江雪
  • Spring Cloud Zuul 集成 OAuth2.0+JWT

    有资源的地方就会有权限的约束,单体应用时代比较流行的就是Apache shiro,但是使用Spring Cloud开发的微服务中,所有服务之间访问都是无状态的,...

    胖虎
  • Java13 闪亮来袭,你是否还停留在 Java8

    近期 Java 界好消息频传。先是 Java 13 发布,接着 Eclipse 也发布了新版本表示支持新版本的 Java 特性。

    淡定的蜗牛
  • Linux如何查看当前占用CPU或内存最多的几个进程

    命令 ps -aux | sort -k4nr | head -N 命令详解: head:-N可以指定显示的行数,默认显示10行。 ps:参数a指代all——所...

    小柒2012
  • 为什么要指令重排序?

    我们知道java在运行的时候有两个地方可能用到重排序,一个是编译器编译的的时候,一个是处理器运行的时候。

    MageekChiu
  • 8月反思

    这个月的感受非常不同,虽然大熊市已经持续了半年了,但因为8月份的经历很不一样,让我在区块链行业的飞奔中慢了下来,有更多时间思考和审视自己。

    凌帅出口
  • 教程 | 简单实用的pandas技巧:如何将内存占用降低90%

    选自DATAQUEST 作者:Josh Devlin 机器之心编译 参与:Panda pandas 是一个 Python 软件库,可用于数据操作和分析。数据科学...

    机器之心

扫码关注云+社区

领取腾讯云代金券