95、XSS攻擊是什么？（低頻）

跨站點(diǎn)腳本攻擊，指攻擊者通過篡改網(wǎng)頁(yè)，嵌入惡意腳本程序，在用戶瀏覽網(wǎng)頁(yè)時(shí)，控制用戶瀏覽器進(jìn)行惡意操作的一種攻擊方式。如何防范XSS攻擊1）前端，服務(wù)端，同時(shí)需要字符串輸入的長(zhǎng)度限制。2）前端，服務(wù)端，同時(shí)需要對(duì)HTML轉(zhuǎn)義處理。將其中的”＜”，”＞”等特殊字符進(jìn)行轉(zhuǎn)義編碼。防 XSS 的核心是必須對(duì)輸入的數(shù)據(jù)做過濾處理。

96、CSRF攻擊？你知道嗎？

跨站點(diǎn)請(qǐng)求偽造，指攻擊者通過跨站請(qǐng)求，以合法的用戶的身份進(jìn)行非法操作�？梢赃@么理解CSRF攻擊：攻擊者盜用你的身份，以你的名義向第三方網(wǎng)站發(fā)送惡意請(qǐng)求。CRSF能做的事情包括利用你的身份發(fā)郵件，發(fā)短信，進(jìn)行交易轉(zhuǎn)賬，甚至盜取賬號(hào)信息。

96．1、如何防范CSRF攻擊？

安全框架，例如Spring Security。

token機(jī)制。在HTTP請(qǐng)求中進(jìn)行token驗(yàn)證，如果請(qǐng)求中沒有token或者token內(nèi)容不正確，則認(rèn)為CSRF攻擊而拒絕該請(qǐng)求。

驗(yàn)證碼。通常情況下，驗(yàn)證碼能夠很好的遏制CSRF攻擊，但是很多情況下，出于用戶體驗(yàn)考慮，驗(yàn)證碼只能作為一種輔助手段，而不是最主要的解決方案。

referer識(shí)別。在HTTP Header中有一個(gè)字段Referer，它記錄了HTTP請(qǐng)求的來源地址。如果Referer是其他網(wǎng)站，就有可能是CSRF攻擊，則拒絕該請(qǐng)求。但是，服務(wù)器并非都能取到Referer。很多用戶出于隱私保護(hù)的考慮，限制了Referer的發(fā)送。在某些情況下，瀏覽器也不會(huì)發(fā)送Referer，例如HTTPS跳轉(zhuǎn)到HTTP。

1）驗(yàn)證請(qǐng)求來源地址；

2）關(guān)鍵操作添加驗(yàn)證碼；

3）在請(qǐng)求地址添加 token 并驗(yàn)證。

97、文件上傳漏洞是如何發(fā)生的？你有經(jīng)歷過嗎？

文件上傳漏洞，指的是用戶上傳一個(gè)可執(zhí)行的腳本文件，并通過此腳本文件獲得了執(zhí)行服務(wù)端命令的能力。許多第三方框架、服務(wù)，都曾經(jīng)被爆出文件上傳漏洞，比如很早之前的Struts2，以及富文本編輯器等等，可被攻擊者上傳惡意代碼，有可能服務(wù)端就被人黑了。

97．1、如何防范文件上傳漏洞？

文件上傳的目錄設(shè)置為不可執(zhí)行。

1）判斷文件類型。在判斷文件類型的時(shí)候，可以結(jié)合使用MIME Type，后綴檢查等方式。因?yàn)閷?duì)于上傳文件，不能簡(jiǎn)單地通過后綴名稱來判斷文件的類型，因?yàn)楣�擊者可以將可�?zhí)行文件的后綴名稱改為圖片或其他后綴類型，誘導(dǎo)用戶執(zhí)行。2）對(duì)上傳的文件類型進(jìn)行白名單校驗(yàn)，只允許上傳可靠類型。

3）上傳的文件需要進(jìn)行重新命名，使攻擊者無法猜想上傳文件的訪問路徑，將極大地增加攻擊成本，同時(shí)向shell．php．rar．a(chǎn)ra這種文件，因?yàn)橹孛�名而無法成功實(shí)施攻擊。

4）限制上傳文件的大小。

5）單獨(dú)設(shè)置文件服務(wù)器的域名。

98、擁塞控制原理聽說過嗎？

擁塞控制目的是防止數(shù)據(jù)被過多注網(wǎng)絡(luò)中導(dǎo)致網(wǎng)絡(luò)資源（路由器、交換機(jī)等）過載。因?yàn)閾砣�控制涉及網(wǎng)絡(luò)鏈路全局，所以屬于全局控制�？刂茡砣�使用擁塞窗口。

TCP擁塞控制算法：

慢開始 ＆ 擁塞避免：先試探網(wǎng)絡(luò)擁塞程度再逐漸增大擁塞窗口。每次收到確認(rèn)后擁塞窗口翻倍，直到達(dá)到閥值ssthresh，這部分是慢開始過程。達(dá)到閥值后每次以一個(gè)MSS為單位增長(zhǎng)擁塞窗口大小，當(dāng)發(fā)生擁塞（超時(shí)未收到確認(rèn)），將閥值減為原先一半，繼續(xù)執(zhí)行線性增加，這個(gè)過程為擁塞避免。

快速重傳 ＆ 快速恢復(fù)：略。

最終擁塞窗口會(huì)收斂于穩(wěn)定值。

99、如何區(qū)分流量控制和擁塞控制？

流量控制屬于通信雙方協(xié)商；擁塞控制涉及通信鏈路全局。

流量控制需要通信雙方各維護(hù)一個(gè)發(fā)送窗、一個(gè)接收窗，對(duì)任意一方，接收窗大小由自身決定，發(fā)送窗大小由接收方響應(yīng)的TCP報(bào)文段中窗口值確定；擁塞控制的擁塞窗口大小變化由試探性發(fā)送一定數(shù)據(jù)量數(shù)據(jù)探查網(wǎng)絡(luò)狀況后而自適應(yīng)調(diào)整。

實(shí)際最終發(fā)送窗口 ＝ min｛流控發(fā)送窗口，擁塞窗口｝。

100、常見的HTTP狀態(tài)碼有哪些？

狀態(tài)碼類別含義1XXInformational（信息性狀態(tài)碼）接收的請(qǐng)求正在處理2XXSuccess（成功狀態(tài)碼）請(qǐng)求正常處理完畢3XXRedirection（重定向狀態(tài)碼）需要進(jìn)行附加操作以完成請(qǐng)求4XXClient Error（客戶端錯(cuò)誤狀態(tài)碼）服務(wù)器無法處理請(qǐng)求5XXServer Error（服務(wù)器錯(cuò)誤狀態(tài)碼）服務(wù)器處理請(qǐng)求出1xx 信息

100 Continue ：表明到目前為止都很正常，客戶端可以繼續(xù)發(fā)送請(qǐng)求或者忽略這個(gè)響應(yīng)。

2xx 成功

200 OK204 No Content ：請(qǐng)求已經(jīng)成功處理，但是返回的響應(yīng)報(bào)文不包含實(shí)體的主體部分。一般在只需要從客戶端往服務(wù)器發(fā)送信息，而不需要返回?cái)?shù)據(jù)時(shí)使用。206 Partial Content ：表示客戶端進(jìn)行了范圍請(qǐng)求，響應(yīng)報(bào)文包含由 Content－Range 指定范圍的實(shí)體內(nèi)容。3xx 重定向301 Moved Permanently ：永久性重定向302 Found ：臨時(shí)性重定向303 See Other ：和 302 有著相同的功能，但是 303 明確要求客戶端應(yīng)該采用 GET 方法獲取資源。304 Not Modified ：如果請(qǐng)求報(bào)文首部包含一些條件，例如：If－Match，If－Modified－Since，If－None－Match，If－Range，If－Unmodified－Since，如果不滿足條件，則服務(wù)器會(huì)返回 304 狀態(tài)碼。307 Temporary Redirect ：臨時(shí)重定向，與 302 的含義類似，但是 307 要求瀏覽器不會(huì)把重定向請(qǐng)求的 POST 方法改成 GET 方法。4xx 客戶端錯(cuò)誤400 Bad Request ：請(qǐng)求報(bào)文中存在語(yǔ)法錯(cuò)誤。401 Unauthorized ：該狀態(tài)碼表示發(fā)送的請(qǐng)求需要有認(rèn)證信息（BASIC 認(rèn)證、DIGEST 認(rèn)證）。如果之前已進(jìn)行過一次請(qǐng)求，則表示用戶認(rèn)證失敗。403 Forbidden ：請(qǐng)求被拒絕。404 Not Found5xx 服務(wù)器錯(cuò)誤500 Internal Server Error ：服務(wù)器正在執(zhí)行請(qǐng)求時(shí)發(fā)生錯(cuò)誤。503 Service Unavailable ：服務(wù)器暫時(shí)處于超負(fù)載或正在進(jìn)行停機(jī)維護(hù)，現(xiàn)在無法處理請(qǐng)求。