目录
XSS%20%E6%94%BB%E5%87%BB%E7%9A%84%E5%8E%9F%E7%90%86%E5%8F%8A%E4%B8%89%E7%A7%8D%E5%B8%B8%E8%A7%81%E7%B1%BB%E5%9E%8B%EF%BC%88%E5%AD%98%E5%82%A8%E5%9E%8B%E3%80%81%E5%8F%8D%E5%B0%84%E5%9E%8B%E3%80%81DOM%20%E5%9E%8B%EF%BC%89-toc" name="tableOfContents" style="margin-left:80px">简述 XSS 攻击的原理及三种常见类型(存储型、反射型、DOM 型)
XSS%20%E6%94%BB%E5%87%BB%EF%BC%9F%E5%88%97%E4%B8%BE%E7%BC%96%E7%A0%81%E3%80%81%E8%BF%87%E6%BB%A4%E3%80%81CSP%20%E7%AD%96%E7%95%A5%E7%9A%84%E5%85%B7%E4%BD%93%E5%AE%9E%E7%8E%B0%E6%96%B9%E5%BC%8F-toc" name="tableOfContents" style="margin-left:80px">如何在前端防御 XSS 攻击?列举编码、过滤、CSP 策略的具体实现方式
富文本编辑器场景下如何安全处理用户输入的 HTML 内容?
XSS%20%E9%98%B2%E5%BE%A1%E7%9A%84%E5%85%B3%E7%B3%BB%E6%98%AF%E4%BB%80%E4%B9%88%EF%BC%9F-toc" name="tableOfContents" style="margin-left:80px">如何通过 HttpOnly 属性增强 Cookie 安全性?它与 XSS 防御的关系是什么?
XSS%20%E7%9A%84%E6%94%BB%E5%87%BB%E8%B7%AF%E5%BE%84%E5%8F%8A%E9%98%B2%E5%BE%A1%E6%96%B9%E6%B3%95-toc" name="tableOfContents" style="margin-left:80px">举例说明 DOM 型 XSS 的攻击路径及防御方法
内容安全策略(CSP)如何配置以限制脚本加载来源?如何通过 标签或 HTTP 头启用 CSP?
XSS-Protection%20%E5%93%8D%E5%BA%94%E5%A4%B4%E5%A2%9E%E5%BC%BA%E6%B5%8F%E8%A7%88%E5%99%A8%E7%AB%AF%E7%9A%84%20XSS%20%E8%BF%87%E6%BB%A4%EF%BC%9F-toc" name="tableOfContents" style="margin-left:80px">如何利用 X-XSS-Protection 响应头增强浏览器端的 XSS 过滤?
XSS%EF%BC%9F%E5%90%8E%E7%AB%AF%E5%BA%94%E5%A6%82%E4%BD%95%E9%85%8D%E5%90%88%EF%BC%9F-toc" name="tableOfContents" style="margin-left:80px">为什么仅依赖前端过滤无法彻底防御 XSS?后端应如何配合?
XSS%EF%BC%9F-toc" name="tableOfContents" style="margin-left:80px">在 Vue/React 框架中,如何通过内置机制(如 v-html 转义、JSX 自动编码)避免 XSS?
XSS%20%E6%BC%8F%E6%B4%9E%EF%BC%9F%E5%88%97%E4%B8%BE%E5%B8%B8%E7%94%A8%E5%B7%A5%E5%85%B7%EF%BC%88%E5%A6%82%20OWASP%20ZAP%E3%80%81Burp%20Suite%EF%BC%89-toc" name="tableOfContents" style="margin-left:80px">如何检测网站是否存在 XSS 漏洞?列举常用工具(如 OWASP ZAP、Burp Suite)
XSS%EF%BC%8C%E8%AF%B7%E6%8F%8F%E8%BF%B0%E6%94%BB%E5%87%BB%E8%80%85%E4%BB%8E%E6%B3%A8%E5%85%A5%E5%88%B0%E6%94%BB%E5%87%BB%E6%88%90%E5%8A%9F%E7%9A%84%E5%AE%8C%E6%95%B4%E6%B5%81%E7%A8%8B-toc" name="tableOfContents" style="margin-left:80px">假设某网站评论区存在存储型 XSS,请描述攻击者从注入到攻击成功的完整流程
分析 eval () 和 innerHTML 的使用风险,给出替代方案
解释 CSRF 攻击的原理,说明其依赖的同源策略漏洞
列举 CSRF 的三种防御方案(Token 验证、SameSite Cookie、双重 Cookie 校验)
如何实现 CSRF Token 的生成、传递及服务端校验逻辑?
SameSite 属性的三个取值(Strict/Lax/None)分别适用于哪些场景?
为什么 CSRF 攻击需要用户已登录目标网站?如何构造恶意请求诱导用户触发?
如何通过验证 Referer 和 Origin 头防御 CSRF?其局限性是什么?
在 RESTful API 设计中,如何区分安全方法(GET)和非安全方法(POST/PUT)以降低 CSRF 风险?
XSS%20%E5%92%8C%20CSRF%20%E6%BC%8F%E6%B4%9E%EF%BC%8C%E6%94%BB%E5%87%BB%E8%80%85%E5%8F%AF%E8%83%BD%E5%A6%82%E4%BD%95%E7%BB%84%E5%90%88%E5%88%A9%E7%94%A8%EF%BC%9F-toc" name="tableOfContents" style="margin-left:80px">若网站同时存在 XSS 和 CSRF 漏洞,攻击者可能如何组合利用?
单页面应用(SPA)中如何安全存储和传递 CSRF Token?
第三方支付接口如何防范 CSRF 攻击?以支付宝回调为例说明
描述点击劫持(Clickjacking)的攻击原理及典型案例(如虚假按钮覆盖)
如何通过 X-Frame-Options 响应头禁止页面被嵌入到
使用 JavaScript 如何检测当前页面是否被嵌套并强制跳转至顶层窗口?
现代浏览器如何通过 Content - Security - Policy: frame - ancestors 增强防御?
除了点击劫持,界面伪装攻击还有哪些形式(如 URL 钓鱼、样式欺骗)?
前端敏感数据(如 Token、密码)应如何安全存储?对比 localStorage 与 sessionStorage 的风险。
HTTPS 如何防止中间人攻击(MITM)?简述 SSL/TLS 握手过程。
如何在前端实现数据加密?列举 Web Crypto API 或库(如 CryptoJS)的使用场景。
为什么明文传输敏感信息(如密码)存在风险?如何通过哈希加盐增强安全性?
如何防御 JSON 劫持攻击?说明 while (1); 前缀的防护原理。
在文件上传功能中,如何防范恶意文件(如木马、超大文件)上传?
如何通过 Subresource Integrity (SRI) 确保第三方 CDN 资源的完整性?
前端日志监控中,如何避免记录敏感信息(如用户身份、支付数据)?
如何通过 npm audit 或 Snyk 检测第三方库的已知漏洞?
锁定依赖版本(package - lock.json)对安全维护的意义是什么?
如何防范恶意 npm 包(如 typosquatting 攻击)?列举最佳实践。
前端项目中,如何安全引入第三方脚本(如统计代码、广告 SDK)?
如何通过沙箱机制(如 iframe 隔离、Web Workers)限制第三方代码的权限?
列举必须配置的 HTTP 安全响应头(如 Strict - Transport - Security、X - Content - Type - Options)
如何通过 Content - Security - Policy 限制资源加载策略?
如何通过 Feature - Policy 控制浏览器功能(如摄像头、地理位置)的访问权限?
如何防止 MIME 类型嗅探攻击(如 X - Content - Type - Options: nosniff)?
如何通过 Access - Control - Allow - Origin 正确配置 CORS 策略?
会话劫持(Session Hijacking)与 Cookie 盗取的防御措施
输入验证不足可能导致哪些攻击(如 SQL 注入、路径遍历)?后端如何协作防御?
如何防范暴力破解攻击?列举前端限速、验证码、密码复杂度策略。
