前端测试题:有关于前端对web安全及防护说明，下面错误的是？

考核内容:前端代码的安全性能优化

题发散度: ★★

试题难度: ★★

解题思路:

高级前端工程师要知道的web安全

一，sql注入

通过用户输入把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

前端表单页面书写时要注意：

• 1. 永远不要信任用户的输入，要对用户的输入进行校验，可以通过正则表达式，或限制长度，对单双引号和大于小于号进行转换。
• 2. 缓存中不要把机密信息明文存放，请加密或者hash掉密码和敏感的信息。

二，XSS攻击

Xss(cross-site scripting)攻击指的是攻击者往Web页面里插入恶意 html标签或者javascript代码

比如：攻击者在输入一个看似安全的链接，骗取用户点击后，窃取cookie中的用户私密信息；或者攻击者在网站中加一个恶意表单，当用户提交表单的时候，却把信息传送到攻击者的服务器中，而不是用户原本以为的信任站点。

前端页面书写时要注意：

• 1. 代码里对用户输入的地方和变量都需要仔细检查长度和对”<”,”>”,”;”,”’”等字符做过滤；
• 2. 通过使cookie 和系统ip 绑定来降低cookie泄露,避免直接在cookie 中泄露用户隐私，例如email、密码等等

三，私密数据传输尽量采用POST 而非GET 提交表单

• GET 请求可被缓存，保留在浏览器历史记录中，可被收藏为书签
• POST 请求不会被缓存，不会保留在浏览器历史记录中，不能被收藏为书签，编码类型为二进制数据使用多重编码。

与 POST 相比，GET 的安全性较差，因为所发送的数据是 URL 的一部分。

在发送密码或其他敏感信息时绝不要使用 GET ！

以上除了FORM表单，还包含AJAX方法；

参考代码:

答案：错误的是

D. 尽量采用GET 而非POST 提交表单。