一、在登入介面要考慮的安全問題。
傳輸:使用https進行傳輸,對傳輸內容進行加密,杜絕http明文傳輸
密碼:強制使用者使用有一定強度並複雜的密碼,一定包含英文本母和數字,防止出現123456這樣的弱口令
密碼不要明文儲存在資料庫,要進行加密處理,同時可以加鹽
使用者名稱和密碼不要單方面提示,不管是使用者名稱還是密碼錯誤都提示「使用者名稱或密碼錯誤」,防止攻擊者進行嘗試
sql防護:前端進行禁止使用者輸入導致sql注入的字元,後端也要進行sql注入的防護
cookie防護:不要在cookie中儲存賬號密碼,要將過期時間,ip等考慮進去,cookie要設定成http only,防止指令碼獲取
設定會話有效期:比如登入後10分鐘不操作進登入失效。
加驗證碼:防止黑客進行撞庫攻擊
採用單點登入。
2、為防止檔案覆蓋的現象發生,要為上傳檔案產生乙個唯一的檔名。
3、為防止乙個目錄下面出現太多檔案,要使用hash演算法打散儲存。
4、要限制上傳檔案的最大值。
5、要限制上傳檔案的型別,在收到上傳檔名時,判斷字尾名是否合法。
csrf:跨站偽造攻擊,xss是實現csrf攻擊的其中一條,當使用者開啟乙個頁面時,他可能開啟另乙個頁面,這時候瀏覽器儲存的資料就會被使用,伺服器端不能知道這是不是使用者自己發起的操作
可以使用referce保證請求來自哪個頁面。
綠盟面試經歷
本人普通高校小碩一名,從2018年9月開始找工作,第一家面試的公司就是成都綠盟科技,總共3輪面試,第一輪 第二輪都是技術面,第三輪是北京綠盟的boss面。因為是投的是提前批,正式校招還沒開始,三輪面試都是 面,所以還是有操作的機會。最後由於薪資沒談好,沒收到offer,感覺綠盟科技 成都 最多能開到...
綠盟前端筆試題
1.set cookie屬於響應頭欄位,cookie屬於請求頭欄位 2.為什麼使用網頁驗證碼,說明其原理 3.var mypromise1 new promise function resolve,reject var mypromise2 new promise function resolve,...
綠盟python測試實習面試
1.簡歷問題 低階錯誤 時間寫錯 最近好像越來越馬大哈了,總是犯低階錯誤。上次的開題報告首頁,這次的時間,每次都有小問題,確是大毛病 到底 出錯了 2 rhce證書好像沒有用 面試官根本就不懂這個價值,還是這個證書就是沒用呢?其實我也覺得就是好像被忽悠了 距離運維工程師越來越遠了 3.問題 面試官 ...