当前位置: 首页 > 面试经验 >

🔩安全工程师2024秋招一面☎️2

优质
小牛编辑
75浏览
2024-01-26

🔩安全工程师2024秋招一面☎️2

接上篇
浏览器有什么安全特性可以防护XSS
如何防护富文本XSS
了解CSP吗
回答的不好,搜了一下答案,简单记一下吧。。
XSS https://tech.meituan.com/2018/09/27/fe-security.html
虽然在渲染页面和执行 JavaScript 时,通过谨慎的转义可以防止 XSS 的发生,但完全依靠开发的谨慎仍然是不够的。以下介绍一些通用的方案,可以降低 XSS 带来的风险和后果。
1. Content Security Policy
严格的 CSP 在 XSS 的防范中可以起到以下的作用:
禁止加载外域代码,防止复杂的攻击逻辑。
禁止外域提交,网站被攻击后,用户的数据不会泄露到外域。
禁止内联脚本执行(规则较严格,目前发现 GitHub 使用)。
禁止未授权的脚本执行(新特性,Google Map 移动版在使用)。
合理使用上报可以及时发现 XSS,利于尽快修复问题。
关于 CSP 的详情,请关注前端安全系列后续的文章。
2. 输入内容长度控制
对于不受信任的输入,都应该限定一个合理的长度。虽然无法完全防止 XSS 发生,但可以增加 XSS 攻击的难度。
3. 其他安全措施
3.1 HTTP-only Cookie: 禁止 JavaScript 读取某些敏感 Cookie,攻击者完成 XSS 注入后也无法窃取此 Cookie。
3.2 验证码:防止脚本冒充用户提交危险操作。
半小时简历项目简介,只能说还好是面试官盲区,一通胡说八道编都编不下去
有一个内网横向移动的项目,没吃透就放上去了,被问得很惨
十分钟soft skills拷打
1. 在哪自学 学到哪了 学什么了
2. 你是安全部门,SDLC过程中就发现开发团队有中低危漏洞,但对方不屑一顾,现在功能已部署上线,你如何与其沟通。。」
我以为是拷打对high-level的业务交互理解,不敢乱说,结果只是看看交流能力
「按照规范制度 修复标准 不修复的话和研发沟通 告知具体危害后果 长期不修。。先讲道理 讲不通谈规则 集团安全红线 中低危 修复时间 可以延期 但不可以太久。。」
 类似资料: