95、XSS攻擊是什么？（低頻）

跨站點腳本攻擊，指攻擊者通過篡改網(wǎng)頁，嵌入惡意腳本程序，在用戶瀏覽網(wǎng)頁時，控制用戶瀏覽器進(jìn)行惡意操作的一種攻擊方式。如何防范XSS攻擊1）前端，服務(wù)端，同時需要字符串輸入的長度限制。2）前端，服務(wù)端，同時需要對HTML轉(zhuǎn)義處理。將其中的”＜”，”＞”等特殊字符進(jìn)行轉(zhuǎn)義編碼。防 XSS 的核心是必須對輸入的數(shù)據(jù)做過濾處理。

96、CSRF攻擊？你知道嗎？

跨站點請求偽造，指攻擊者通過跨站請求，以合法的用戶的身份進(jìn)行非法操作�？梢赃@么理解CSRF攻擊：攻擊者盜用你的身份，以你的名義向第三方網(wǎng)站發(fā)送惡意請求。CRSF能做的事情包括利用你的身份發(fā)郵件，發(fā)短信，進(jìn)行交易轉(zhuǎn)賬，甚至盜取賬號信息。

96．1、如何防范CSRF攻擊？

安全框架，例如Spring Security。

token機(jī)制。在HTTP請求中進(jìn)行token驗證，如果請求中沒有token或者token內(nèi)容不正確，則認(rèn)為CSRF攻擊而拒絕該請求。

驗證碼。通常情況下，驗證碼能夠很好的遏制CSRF攻擊，但是很多情況下，出于用戶體驗考慮，驗證碼只能作為一種輔助手段，而不是最主要的解決方案。

referer識別。在HTTP Header中有一個字段Referer，它記錄了HTTP請求的來源地址。如果Referer是其他網(wǎng)站，就有可能是CSRF攻擊，則拒絕該請求。但是，服務(wù)器并非都能取到Referer。很多用戶出于隱私保護(hù)的考慮，限制了Referer的發(fā)送。在某些情況下，瀏覽器也不會發(fā)送Referer，例如HTTPS跳轉(zhuǎn)到HTTP。

1）驗證請求來源地址；

2）關(guān)鍵操作添加驗證碼；

3）在請求地址添加 token 并驗證。

97、文件上傳漏洞是如何發(fā)生的？你有經(jīng)歷過嗎？

文件上傳漏洞，指的是用戶上傳一個可執(zhí)行的腳本文件，并通過此腳本文件獲得了執(zhí)行服務(wù)端命令的能力。許多第三方框架、服務(wù)，都曾經(jīng)被爆出文件上傳漏洞，比如很早之前的Struts2，以及富文本編輯器等等，可被攻擊者上傳惡意代碼，有可能服務(wù)端就被人黑了。

97．1、如何防范文件上傳漏洞？

文件上傳的目錄設(shè)置為不可執(zhí)行。

1）判斷文件類型。在判斷文件類型的時候，可以結(jié)合使用MIME Type，后綴檢查等方式。因為對于上傳文件，不能簡單地通過后綴名稱來判斷文件的類型，因為攻擊者可以將可執(zhí)行文件的后綴名稱改為圖片或其他后綴類型，誘導(dǎo)用戶執(zhí)行。2）對上傳的文件類型進(jìn)行白名單校驗，只允許上傳可靠類型。

3）上傳的文件需要進(jìn)行重新命名，使攻擊者無法猜想上傳文件的訪問路徑，將極大地增加攻擊成本，同時向shell．php．rar．a(chǎn)ra這種文件，因為重命名而無法成功實施攻擊。

4）限制上傳文件的大小。

5）單獨設(shè)置文件服務(wù)器的域名。

98、擁塞控制原理聽說過嗎？

擁塞控制目的是防止數(shù)據(jù)被過多注網(wǎng)絡(luò)中導(dǎo)致網(wǎng)絡(luò)資源（路由器、交換機(jī)等）過載。因為擁塞控制涉及網(wǎng)絡(luò)鏈路全局，所以屬于全局控制�？刂茡砣�使用擁塞窗口。

TCP擁塞控制算法：

慢開始 ＆ 擁塞避免：先試探網(wǎng)絡(luò)擁塞程度再逐漸增大擁塞窗口。每次收到確認(rèn)后擁塞窗口翻倍，直到達(dá)到閥值ssthresh，這部分是慢開始過程。達(dá)到閥值后每次以一個MSS為單位增長擁塞窗口大小，當(dāng)發(fā)生擁塞（超時未收到確認(rèn)），將閥值減為原先一半，繼續(xù)執(zhí)行線性增加，這個過程為擁塞避免。

快速重傳 ＆ 快速恢復(fù)：略。

最終擁塞窗口會收斂于穩(wěn)定值。

99、如何區(qū)分流量控制和擁塞控制？

流量控制屬于通信雙方協(xié)商；擁塞控制涉及通信鏈路全局。

流量控制需要通信雙方各維護(hù)一個發(fā)送窗、一個接收窗，對任意一方，接收窗大小由自身決定，發(fā)送窗大小由接收方響應(yīng)的TCP報文段中窗口值確定；擁塞控制的擁塞窗口大小變化由試探性發(fā)送一定數(shù)據(jù)量數(shù)據(jù)探查網(wǎng)絡(luò)狀況后而自適應(yīng)調(diào)整。

實際最終發(fā)送窗口 ＝ min｛流控發(fā)送窗口，擁塞窗口｝。

100、常見的HTTP狀態(tài)碼有哪些？

狀態(tài)碼類別含義1XXInformational（信息性狀態(tài)碼）接收的請求正在處理2XXSuccess（成功狀態(tài)碼）請求正常處理完畢3XXRedirection（重定向狀態(tài)碼）需要進(jìn)行附加操作以完成請求4XXClient Error（客戶端錯誤狀態(tài)碼）服務(wù)器無法處理請求5XXServer Error（服務(wù)器錯誤狀態(tài)碼）服務(wù)器處理請求出1xx 信息

100 Continue ：表明到目前為止都很正常，客戶端可以繼續(xù)發(fā)送請求或者忽略這個響應(yīng)。

2xx 成功

200 OK204 No Content ：請求已經(jīng)成功處理，但是返回的響應(yīng)報文不包含實體的主體部分。一般在只需要從客戶端往服務(wù)器發(fā)送信息，而不需要返回數(shù)據(jù)時使用。206 Partial Content ：表示客戶端進(jìn)行了范圍請求，響應(yīng)報文包含由 Content－Range 指定范圍的實體內(nèi)容。3xx 重定向301 Moved Permanently ：永久性重定向302 Found ：臨時性重定向303 See Other ：和 302 有著相同的功能，但是 303 明確要求客戶端應(yīng)該采用 GET 方法獲取資源。304 Not Modified ：如果請求報文首部包含一些條件，例如：If－Match，If－Modified－Since，If－None－Match，If－Range，If－Unmodified－Since，如果不滿足條件，則服務(wù)器會返回 304 狀態(tài)碼。307 Temporary Redirect ：臨時重定向，與 302 的含義類似，但是 307 要求瀏覽器不會把重定向請求的 POST 方法改成 GET 方法。4xx 客戶端錯誤400 Bad Request ：請求報文中存在語法錯誤。401 Unauthorized ：該狀態(tài)碼表示發(fā)送的請求需要有認(rèn)證信息（BASIC 認(rèn)證、DIGEST 認(rèn)證）。如果之前已進(jìn)行過一次請求，則表示用戶認(rèn)證失敗。403 Forbidden ：請求被拒絕。404 Not Found5xx 服務(wù)器錯誤500 Internal Server Error ：服務(wù)器正在執(zhí)行請求時發(fā)生錯誤。503 Service Unavailable ：服務(wù)器暫時處于超負(fù)載或正在進(jìn)行停機(jī)維護(hù)，現(xiàn)在無法處理請求。