赶紧收藏!2024 年最常见 100道 Java 基础面试题(三十六)

2024-05-09 04:44

本文主要是介绍赶紧收藏!2024 年最常见 100道 Java 基础面试题(三十六),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

上一篇地址:赶紧收藏!2024 年最常见 100道 Java 基础面试题(三十五)-CSDN博客

七十一、什么是XSS攻击,如何避免?

XSS(跨站脚本攻击,Cross-Site Scripting)是一种常见的网络安全漏洞,它允许攻击者在用户的浏览器中执行恶意脚本。XSS攻击分为两种类型:

  1. 反射型XSS:这种攻击发生在用户点击一个恶意链接时,恶意脚本通常作为查询参数附加在URL之后。当服务器接收到这个请求时,它会将恶意脚本作为响应的一部分返回给浏览器,而浏览器会执行这些脚本。

  2. 存储型XSS:这种攻击发生在恶意脚本被存储在目标服务器上时,例如在数据库、消息论坛、用户配置文件或cookies中。当其他用户访问存储了恶意脚本的页面时,他们的浏览器会执行这些脚本。

XSS攻击可能导致多种风险,包括:

  • 盗取用户的cookies和会话信息。
  • 模拟用户的行为,如提交表单。
  • 读取敏感信息。
  • 修改网页内容。
  • 进行钓鱼攻击。

如何避免XSS攻击?

  1. 输入验证:对所有用户输入进行验证,确保它们符合预期的格式。使用白名单验证比黑名单更安全。

  2. 输出编码:在将用户输入的数据输出到浏览器之前,对数据进行HTML编码或JavaScript编码,以防止浏览器将其解释为脚本。

  3. 使用安全框架:使用具有内置XSS防护的框架,如Spring Security的ContentSecurityPolicy

  4. 内容安全策略(CSP):通过设置HTTP头Content-Security-Policy来限制浏览器执行来自不可信源的脚本。

  5. 避免直接在HTML中内嵌用户输入:如果必须显示用户输入,使用innerText而不是innerHTML

  6. 使用模板引擎:现代模板引擎通常会自动对输出进行编码。

  7. 避免使用document.write():这种方法会直接将字符串写入HTML,增加了XSS攻击的风险。

  8. 使用HTTP-only的cookies:这样设置的cookies不会通过JavaScript暴露给攻击者。

  9. 定期更新和打补丁:保持应用程序和依赖库更新到最新版本,以利用最新的安全修复。

  10. 用户教育:教育用户不要点击不可信的链接,提高他们对网络安全的意识。

示例代码:

// 错误的XSS漏洞示例
String userInput = request.getParameter("userInput");
String htmlContent = "<div>" + userInput + "</div>"; // 直接内嵌用户输入// 正确的XSS防护示例
String userInput = request.getParameter("userInput");
String safeHtmlContent = "<div>" + escapeHtml(userInput) + "</div>"; // 使用HTML编码// HTML编码工具方法
public static String escapeHtml(String html) {return html.replaceAll("&", "&amp;").replaceAll("<", "&lt;").replaceAll(">", "&gt;").replaceAll("\"", "&quot;").replaceAll("'", "&#039;");
}

总结

  • XSS攻击利用了Web应用程序对用户输入的处理不当。
  • 防御XSS攻击的关键是始终对用户输入进行验证和编码。
  • 使用安全框架和内容安全策略可以提供额外的保护。
  • 教育用户和保持软件更新也是重要的安全措施。

七十二、什么是CSRF攻击,如何避免?

CSRF(跨站请求伪造,Cross-Site Request Forgery)是一种网络安全漏洞,攻击者通过这种手段可以迫使受害者的浏览器执行非预期的操作,这些操作可能是在Web应用程序上执行的,而用户可能并不知情。CSRF攻击通常利用了Web应用程序的安全性假设:浏览器发起的请求一定来自用户本人。

CSRF攻击的典型步骤包括:

  1. 攻击者构造一个恶意的请求或链接。
  2. 受害者点击该链接或请求,或者攻击者以某种方式诱导用户的浏览器发送这个请求。
  3. 请求发送到服务器,服务器可能会错误地认为这是受害者的合法操作。
  4. 如果受害者已经登录了目标Web应用程序,并且请求中包含了有效的会话标识(如cookies),服务器可能会执行该请求,导致恶意操作。

CSRF攻击可能导致的后果包括:

  • 代表用户执行未经授权的操作,如转账、发布消息、重置密码等。
  • 滥用用户的身份和权限。

如何避免CSRF攻击?

  1. 使用抗CSRF令牌

    • 在表单中包含一个随机生成的令牌,这个令牌在服务器端生成,并在表单提交时由客户端发送回服务器进行验证。
  2. 验证Referer头

    • 检查HTTP请求头中的Referer,以确保请求是从合法的页面发起的。但这种方法不是绝对可靠,因为Referer可以被伪造或被用户浏览器配置为不发送。
  3. 使用同源检查

    • 对于敏感操作,确保请求是从同一个源(origin)发起的,即检查请求的域名、协议和端口是否与服务器一致。
  4. Content-Security-Policy(CSP)

    • 使用CSP的form-action指令来限制哪些域名可以提交表单。
  5. 限制敏感操作的HTTP方法

    • 对于敏感操作,只允许使用POST方法,不允许使用GET方法,因为GET方法可以被浏览器缓存、保存在历史记录中,并且可以通过URL直接访问。
  6. 使用HTTPS

    • 使用HTTPS可以防止中间人攻击者修改请求,从而减少CSRF攻击的风险。
  7. 会话管理和用户认证

    • 确保会话管理是安全的,例如使用会话超时、重新认证机制。
  8. 用户教育

    • 教育用户不要点击不可信的链接,不要随意泄露个人信息和会话标识。
  9. 避免在URL中暴露敏感信息

    • 避免在URL中直接传递敏感信息,如用户ID或操作类型,以减少CSRF攻击的风险。

示例代码:

// 生成CSRF令牌
String csrfToken = UUID.randomUUID().toString();
session.setAttribute("CSRF_TOKEN", csrfToken);// 在表单中包含CSRF令牌
<form action="/transfer" method="POST"><input type="hidden" name="csrf_token" value="<%= csrfToken %>"><!-- 其他表单字段 --><input type="submit" value="Transfer">
</form>// 服务器端验证CSRF令牌
public void doPost(HttpServletRequest request, HttpServletResponse response) {String submittedToken = request.getParameter("csrf_token");String storedToken = (String) session.getAttribute("CSRF_TOKEN");if (submittedToken == null || !submittedToken.equals(storedToken)) {// CSRF令牌不匹配,拒绝请求} else {// 执行操作}
}

总结

  • CSRF攻击利用了用户的会话标识来执行恶意操作。
  • 防御CSRF攻击的关键是验证请求的合法性,使用抗CSRF令牌是最常用的方法。
  • 同源检查、CSP、限制HTTP方法、使用HTTPS等措施也可以提供额外的保护。
  • 用户教育和避免在URL中暴露敏感信息也是重要的安全措施。

这篇关于赶紧收藏!2024 年最常见 100道 Java 基础面试题(三十六)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/972417

相关文章

JVM 的类初始化机制

前言 当你在 Java 程序中new对象时,有没有考虑过 JVM 是如何把静态的字节码(byte code)转化为运行时对象的呢,这个问题看似简单,但清楚的同学相信也不会太多,这篇文章首先介绍 JVM 类初始化的机制,然后给出几个易出错的实例来分析,帮助大家更好理解这个知识点。 JVM 将字节码转化为运行时对象分为三个阶段,分别是:loading 、Linking、initialization

Spring Security 基于表达式的权限控制

前言 spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布尔逻辑来控制访问的权限。 常见的表达式 Spring Security可用表达式对象的基类是SecurityExpressionRoot。 表达式描述hasRole([role])用户拥有制定的角色时返回true (Spring security默认会带有ROLE_前缀),去

浅析Spring Security认证过程

类图 为了方便理解Spring Security认证流程,特意画了如下的类图,包含相关的核心认证类 概述 核心验证器 AuthenticationManager 该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数; public interface AuthenticationManager {Authentication authenticate(Authenti

Spring Security--Architecture Overview

1 核心组件 这一节主要介绍一些在Spring Security中常见且核心的Java类,它们之间的依赖,构建起了整个框架。想要理解整个架构,最起码得对这些类眼熟。 1.1 SecurityContextHolder SecurityContextHolder用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限…这些都被保

Spring Security基于数据库验证流程详解

Spring Security 校验流程图 相关解释说明(认真看哦) AbstractAuthenticationProcessingFilter 抽象类 /*** 调用 #requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。* 如果需要验证,则会调用 #attemptAuthentica

Spring Security 从入门到进阶系列教程

Spring Security 入门系列 《保护 Web 应用的安全》 《Spring-Security-入门(一):登录与退出》 《Spring-Security-入门(二):基于数据库验证》 《Spring-Security-入门(三):密码加密》 《Spring-Security-入门(四):自定义-Filter》 《Spring-Security-入门(五):在 Sprin

Java架构师知识体认识

源码分析 常用设计模式 Proxy代理模式Factory工厂模式Singleton单例模式Delegate委派模式Strategy策略模式Prototype原型模式Template模板模式 Spring5 beans 接口实例化代理Bean操作 Context Ioc容器设计原理及高级特性Aop设计原理Factorybean与Beanfactory Transaction 声明式事物

Java进阶13讲__第12讲_1/2

多线程、线程池 1.  线程概念 1.1  什么是线程 1.2  线程的好处 2.   创建线程的三种方式 注意事项 2.1  继承Thread类 2.1.1 认识  2.1.2  编码实现  package cn.hdc.oop10.Thread;import org.slf4j.Logger;import org.slf4j.LoggerFactory

2024年流动式起重机司机证模拟考试题库及流动式起重机司机理论考试试题

题库来源:安全生产模拟考试一点通公众号小程序 2024年流动式起重机司机证模拟考试题库及流动式起重机司机理论考试试题是由安全生产模拟考试一点通提供,流动式起重机司机证模拟考试题库是根据流动式起重机司机最新版教材,流动式起重机司机大纲整理而成(含2024年流动式起重机司机证模拟考试题库及流动式起重机司机理论考试试题参考答案和部分工种参考解析),掌握本资料和学校方法,考试容易。流动式起重机司机考试技

JAVA智听未来一站式有声阅读平台听书系统小程序源码

智听未来,一站式有声阅读平台听书系统 🌟&nbsp;开篇:遇见未来,从“智听”开始 在这个快节奏的时代,你是否渴望在忙碌的间隙,找到一片属于自己的宁静角落?是否梦想着能随时随地,沉浸在知识的海洋,或是故事的奇幻世界里?今天,就让我带你一起探索“智听未来”——这一站式有声阅读平台听书系统,它正悄悄改变着我们的阅读方式,让未来触手可及! 📚&nbsp;第一站:海量资源,应有尽有 走进“智听