在進行UDP編程的時候,一次發(fā)送多少bytes好?
95、XSS攻擊是什么?(低頻)
跨站點腳本攻擊,指攻擊者通過篡改網(wǎng)頁,嵌入惡意腳本程序,在用戶瀏覽網(wǎng)頁時,控制用戶瀏覽器進行惡意操作的一種攻擊方式。如何防范XSS攻擊1)前端,服務端,同時需要字符串輸入的長度限制。2)前端,服務端,同時需要對HTML轉義處理。將其中的”<”,”>”等特殊字符進行轉義編碼。防 XSS 的核心是必須對輸入的數(shù)據(jù)做過濾處理。
96、CSRF攻擊?你知道嗎?
跨站點請求偽造,指攻擊者通過跨站請求,以合法的用戶的身份進行非法操作。可以這么理解CSRF攻擊:攻擊者盜用你的身份,以你的名義向第三方網(wǎng)站發(fā)送惡意請求。CRSF能做的事情包括利用你的身份發(fā)郵件,發(fā)短信,進行交易轉賬,甚至盜取賬號信息。
96.1、如何防范CSRF攻擊?
安全框架,例如Spring Security。
token機制。在HTTP請求中進行token驗證,如果請求中沒有token或者token內(nèi)容不正確,則認為CSRF攻擊而拒絕該請求。
驗證碼。通常情況下,驗證碼能夠很好的遏制CSRF攻擊,但是很多情況下,出于用戶體驗考慮,驗證碼只能作為一種輔助手段,而不是最主要的解決方案。
referer識別。在HTTP Header中有一個字段Referer,它記錄了HTTP請求的來源地址。如果Referer是其他網(wǎng)站,就有可能是CSRF攻擊,則拒絕該請求。但是,服務器并非都能取到Referer。很多用戶出于隱私保護的考慮,限制了Referer的發(fā)送。在某些情況下,瀏覽器也不會發(fā)送Referer,例如HTTPS跳轉到HTTP。
1)驗證請求來源地址;
2)關鍵操作添加驗證碼;
3)在請求地址添加 token 并驗證。
97、文件上傳漏洞是如何發(fā)生的?你有經(jīng)歷過嗎?
文件上傳漏洞,指的是用戶上傳一個可執(zhí)行的腳本文件,并通過此腳本文件獲得了執(zhí)行服務端命令的能力。許多第三方框架、服務,都曾經(jīng)被爆出文件上傳漏洞,比如很早之前的Struts2,以及富文本編輯器等等,可被攻擊者上傳惡意代碼,有可能服務端就被人黑了。
97.1、如何防范文件上傳漏洞?
文件上傳的目錄設置為不可執(zhí)行。
1)判斷文件類型。在判斷文件類型的時候,可以結合使用MIME Type,后綴檢查等方式。因為對于上傳文件,不能簡單地通過后綴名稱來判斷文件的類型,因為攻擊者可以將可執(zhí)行文件的后綴名稱改為圖片或其他后綴類型,誘導用戶執(zhí)行。2)對上傳的文件類型進行白名單校驗,只允許上傳可靠類型。
3)上傳的文件需要進行重新命名,使攻擊者無法猜想上傳文件的訪問路徑,將極大地增加攻擊成本,同時向shell.php.rar.a(chǎn)ra這種文件,因為重命名而無法成功實施攻擊。
4)限制上傳文件的大小。
5)單獨設置文件服務器的域名。
98、擁塞控制原理聽說過嗎?
擁塞控制目的是防止數(shù)據(jù)被過多注網(wǎng)絡中導致網(wǎng)絡資源(路由器、交換機等)過載。因為擁塞控制涉及網(wǎng)絡鏈路全局,所以屬于全局控制?刂茡砣褂脫砣翱凇
TCP擁塞控制算法:
慢開始 & 擁塞避免:先試探網(wǎng)絡擁塞程度再逐漸增大擁塞窗口。每次收到確認后擁塞窗口翻倍,直到達到閥值ssthresh,這部分是慢開始過程。達到閥值后每次以一個MSS為單位增長擁塞窗口大小,當發(fā)生擁塞(超時未收到確認),將閥值減為原先一半,繼續(xù)執(zhí)行線性增加,這個過程為擁塞避免。
快速重傳 & 快速恢復:略。
最終擁塞窗口會收斂于穩(wěn)定值。
99、如何區(qū)分流量控制和擁塞控制?
流量控制屬于通信雙方協(xié)商;擁塞控制涉及通信鏈路全局。
流量控制需要通信雙方各維護一個發(fā)送窗、一個接收窗,對任意一方,接收窗大小由自身決定,發(fā)送窗大小由接收方響應的TCP報文段中窗口值確定;擁塞控制的擁塞窗口大小變化由試探性發(fā)送一定數(shù)據(jù)量數(shù)據(jù)探查網(wǎng)絡狀況后而自適應調整。
實際最終發(fā)送窗口 = min{流控發(fā)送窗口,擁塞窗口}。
100、常見的HTTP狀態(tài)碼有哪些?
狀態(tài)碼類別含義1XXInformational(信息性狀態(tài)碼)接收的請求正在處理2XXSuccess(成功狀態(tài)碼)請求正常處理完畢3XXRedirection(重定向狀態(tài)碼)需要進行附加操作以完成請求4XXClient Error(客戶端錯誤狀態(tài)碼)服務器無法處理請求5XXServer Error(服務器錯誤狀態(tài)碼)服務器處理請求出1xx 信息
100 Continue :表明到目前為止都很正常,客戶端可以繼續(xù)發(fā)送請求或者忽略這個響應。
2xx 成功
200 OK204 No Content :請求已經(jīng)成功處理,但是返回的響應報文不包含實體的主體部分。一般在只需要從客戶端往服務器發(fā)送信息,而不需要返回數(shù)據(jù)時使用。206 Partial Content :表示客戶端進行了范圍請求,響應報文包含由 Content-Range 指定范圍的實體內(nèi)容。3xx 重定向301 Moved Permanently :永久性重定向302 Found :臨時性重定向303 See Other :和 302 有著相同的功能,但是 303 明確要求客戶端應該采用 GET 方法獲取資源。304 Not Modified :如果請求報文首部包含一些條件,例如:If-Match,If-Modified-Since,If-None-Match,If-Range,If-Unmodified-Since,如果不滿足條件,則服務器會返回 304 狀態(tài)碼。307 Temporary Redirect :臨時重定向,與 302 的含義類似,但是 307 要求瀏覽器不會把重定向請求的 POST 方法改成 GET 方法。4xx 客戶端錯誤400 Bad Request :請求報文中存在語法錯誤。401 Unauthorized :該狀態(tài)碼表示發(fā)送的請求需要有認證信息(BASIC 認證、DIGEST 認證)。如果之前已進行過一次請求,則表示用戶認證失敗。403 Forbidden :請求被拒絕。404 Not Found5xx 服務器錯誤500 Internal Server Error :服務器正在執(zhí)行請求時發(fā)生錯誤。503 Service Unavailable :服務器暫時處于超負載或正在進行停機維護,現(xiàn)在無法處理請求。
請輸入評論內(nèi)容...
請輸入評論/評論長度6~500個字
最新活動更多
-
即日-11.13立即報名>>> 【在線會議】多物理場仿真助跑新能源汽車
-
11月20日火熱報名中>> 2024 智能家居出海論壇
-
11月28日立即報名>>> 2024工程師系列—工業(yè)電子技術在線會議
-
12月19日立即報名>> 【線下會議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會
-
即日-12.26火熱報名中>> OFweek2024中國智造CIO在線峰會
-
即日-2025.8.1立即下載>> 《2024智能制造產(chǎn)業(yè)高端化、智能化、綠色化發(fā)展藍皮書》
推薦專題
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結構工程師 廣東省/深圳市