关于 Web 安全突然想到的

[AngusFu]

之前为了方便面试（增加和候选人的谈资），自己出了一套前端面试题。

其中有一道题是考察 Web 安全的，请候选人列出 3 个和 Web 安全相关的名词。

为什么要考查 Web 安全知识呢？几点原因：

1. 奇舞团是 360 的一个部门，360 啊……
2. Web 安全本来就很重要，不是吗
3. 窥一斑而知全豹，请让我看到知识的深度、广度

然鹅，过去一年多，做过这套题的同学大概也有 40 人了，多数同学的安全不外乎以下几点：

• CSRF
• XSS
• HTTPS

我期待的一些与众不同的答案，似乎从未出现。

所以，这里列一些我脑子里粗略能够想到的点 ——

浏览器

• CSP
• HSTS
• X-Frame-Options
• SRI
• Referrer Policy

Node

• 本地文件操作相关：如路径拼接
• SSRF
• 正则表达式攻击(Re DOS)： 可以使用 re2 替代
• 一些旁路攻击，如时序攻击

其他

• 服务端各种校验（ip、origin、referrer 等）
• ……

另外，很多网站经常会设置一些 header，也建议了解下 ——

x-content-type-options: nosniff
x-download-options: noopen
x-frame-options: sameorigin
x-xss-protection: 1; mode=block

[AngusFu]

https://scotthelme.co.uk/coop-and-coep/

[AngusFu]

https://cloud.tencent.com/developer/article/1674651