前端JavaScript面试技巧笔记(14)

知识点:

    #前端常见的两种安全攻击

XSS跨站请求攻击
XSRF跨站请求伪造

    #XSS

XSS攻击全称跨站脚本攻击,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

前端JavaScript面试技巧笔记(14)

    #XSS预防

前端替换关键字;
后端替换(效率更高);

    #CSRF(XSRF)

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,
通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。
攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作。例如一个网站用户
Bob可能正在浏览聊天论坛,而同时另一个用户Alice也在此论坛中,并且后者刚刚发布了一个具有Bob银行链接的
图片消息。设想一下,Alice编写了一个在Bob的银行站点上进行取款的form提交的链接,并将此链接作为图片
src。如果Bob的银行在cookie中保存他的授权信息,并且此cookie没有过期,那么当Bob的浏览器尝试装载图片
时将提交这个取款form和他的cookie,这样在没经Bob同意的情况下便授权了这次事务。

前端JavaScript面试技巧笔记(14)

    #CSRF(XSRF)预防

增加验证流程,如指纹、密码、短信验证码(前端接口后端实现)

    #面试技巧

简历内容:
简洁明了,重点突出项目经理和解决方案
个人博客
开源项目
能力和经理上不要造假

面试过程中:
如何看待加班?如果是紧急任务,那为了完成它,半个月一个月的加班都没关系,但是不接受天天加班,加班不能作为常态。
不要挑战不要反考面试官。
学会给面试官惊喜,不要太多。可以扩展答案但不要太多。
遇到不会回答的问题,说出自己知道的。
谈谈缺点?说一下最近缺什么正在学。