赶紧收藏！2024 年最常见 100道 Java 基础面试题（三十六）

本文主要是介绍赶紧收藏！2024 年最常见 100道 Java 基础面试题（三十六），希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

上一篇地址：赶紧收藏！2024 年最常见 100道 Java 基础面试题（三十五）-CSDN博客

七十一、什么是`XSS`攻击，如何避免？

XSS（跨站脚本攻击，Cross-Site Scripting）是一种常见的网络安全漏洞，它允许攻击者在用户的浏览器中执行恶意脚本。XSS攻击分为两种类型：

反射型XSS：这种攻击发生在用户点击一个恶意链接时，恶意脚本通常作为查询参数附加在URL之后。当服务器接收到这个请求时，它会将恶意脚本作为响应的一部分返回给浏览器，而浏览器会执行这些脚本。
存储型XSS：这种攻击发生在恶意脚本被存储在目标服务器上时，例如在数据库、消息论坛、用户配置文件或cookies中。当其他用户访问存储了恶意脚本的页面时，他们的浏览器会执行这些脚本。

XSS攻击可能导致多种风险，包括：

盗取用户的cookies和会话信息。
模拟用户的行为，如提交表单。
读取敏感信息。
修改网页内容。
进行钓鱼攻击。

如何避免XSS攻击？

输入验证：对所有用户输入进行验证，确保它们符合预期的格式。使用白名单验证比黑名单更安全。
输出编码：在将用户输入的数据输出到浏览器之前，对数据进行HTML编码或JavaScript编码，以防止浏览器将其解释为脚本。
使用安全框架：使用具有内置XSS防护的框架，如Spring Security的ContentSecurityPolicy。
内容安全策略（CSP）：通过设置HTTP头Content-Security-Policy来限制浏览器执行来自不可信源的脚本。
避免直接在HTML中内嵌用户输入：如果必须显示用户输入，使用innerText而不是innerHTML。
使用模板引擎：现代模板引擎通常会自动对输出进行编码。
避免使用document.write()：这种方法会直接将字符串写入HTML，增加了XSS攻击的风险。
使用HTTP-only的cookies：这样设置的cookies不会通过JavaScript暴露给攻击者。
定期更新和打补丁：保持应用程序和依赖库更新到最新版本，以利用最新的安全修复。
用户教育：教育用户不要点击不可信的链接，提高他们对网络安全的意识。

示例代码：

// 错误的XSS漏洞示例
String userInput = request.getParameter("userInput");
String htmlContent = "<div>" + userInput + "</div>"; // 直接内嵌用户输入// 正确的XSS防护示例
String userInput = request.getParameter("userInput");
String safeHtmlContent = "<div>" + escapeHtml(userInput) + "</div>"; // 使用HTML编码// HTML编码工具方法
public static String escapeHtml(String html) {return html.replaceAll("&", "&amp;").replaceAll("<", "&lt;").replaceAll(">", "&gt;").replaceAll("\"", "&quot;").replaceAll("'", "&#039;");
}

总结：

XSS攻击利用了Web应用程序对用户输入的处理不当。
防御XSS攻击的关键是始终对用户输入进行验证和编码。
使用安全框架和内容安全策略可以提供额外的保护。
教育用户和保持软件更新也是重要的安全措施。

七十二、什么是`CSRF`攻击，如何避免？

CSRF（跨站请求伪造，Cross-Site Request Forgery）是一种网络安全漏洞，攻击者通过这种手段可以迫使受害者的浏览器执行非预期的操作，这些操作可能是在Web应用程序上执行的，而用户可能并不知情。CSRF攻击通常利用了Web应用程序的安全性假设：浏览器发起的请求一定来自用户本人。

CSRF攻击的典型步骤包括：

攻击者构造一个恶意的请求或链接。
受害者点击该链接或请求，或者攻击者以某种方式诱导用户的浏览器发送这个请求。
请求发送到服务器，服务器可能会错误地认为这是受害者的合法操作。
如果受害者已经登录了目标Web应用程序，并且请求中包含了有效的会话标识（如cookies），服务器可能会执行该请求，导致恶意操作。

CSRF攻击可能导致的后果包括：

代表用户执行未经授权的操作，如转账、发布消息、重置密码等。
滥用用户的身份和权限。

如何避免CSRF攻击？

使用抗CSRF令牌：
- 在表单中包含一个随机生成的令牌，这个令牌在服务器端生成，并在表单提交时由客户端发送回服务器进行验证。
验证Referer头：
- 检查HTTP请求头中的Referer，以确保请求是从合法的页面发起的。但这种方法不是绝对可靠，因为Referer可以被伪造或被用户浏览器配置为不发送。
使用同源检查：
- 对于敏感操作，确保请求是从同一个源（origin）发起的，即检查请求的域名、协议和端口是否与服务器一致。
Content-Security-Policy（CSP）：
- 使用CSP的form-action指令来限制哪些域名可以提交表单。
限制敏感操作的HTTP方法：
- 对于敏感操作，只允许使用POST方法，不允许使用GET方法，因为GET方法可以被浏览器缓存、保存在历史记录中，并且可以通过URL直接访问。
使用HTTPS：
- 使用HTTPS可以防止中间人攻击者修改请求，从而减少CSRF攻击的风险。
会话管理和用户认证：
- 确保会话管理是安全的，例如使用会话超时、重新认证机制。
用户教育：
- 教育用户不要点击不可信的链接，不要随意泄露个人信息和会话标识。
避免在URL中暴露敏感信息：
- 避免在URL中直接传递敏感信息，如用户ID或操作类型，以减少CSRF攻击的风险。

示例代码：

// 生成CSRF令牌
String csrfToken = UUID.randomUUID().toString();
session.setAttribute("CSRF_TOKEN", csrfToken);// 在表单中包含CSRF令牌
<form action="/transfer" method="POST"><input type="hidden" name="csrf_token" value="<%= csrfToken %>"><!-- 其他表单字段 --><input type="submit" value="Transfer">
</form>// 服务器端验证CSRF令牌
public void doPost(HttpServletRequest request, HttpServletResponse response) {String submittedToken = request.getParameter("csrf_token");String storedToken = (String) session.getAttribute("CSRF_TOKEN");if (submittedToken == null || !submittedToken.equals(storedToken)) {// CSRF令牌不匹配，拒绝请求} else {// 执行操作}
}

总结：