一、先给面试官一个总览Web 常见攻击我通常会从前端安全、认证安全、传输安全、服务端安全四类来理解。前端最常见的是XSS、CSRF、点击劫持认证相关有SQL 注入、暴力破解、会话劫持传输层有中间人攻击工程层面还要关注文件上传、CORS 配置不当、敏感信息泄露。防御上核心思路是输入校验、输出编码、权限控制、身份校验、最小暴露面、安全响应头和 HTTPS。这段适合开场显得有框架感。二、常见 Web 攻击方式1XSS跨站脚本攻击是什么攻击者把恶意脚本注入到页面中当用户访问页面时脚本被执行。常见类型存储型 XSS恶意脚本存进数据库所有访问者都可能中招反射型 XSS恶意脚本通过 URL 参数带入页面DOM 型 XSS前端 JS 直接把不可信内容插入 DOM危害窃取 Cookie、Token冒充用户操作篡改页面钓鱼、挂马防御输入过滤对用户输入做合法性校验输出编码插入 HTML、属性、URL、JS 上下文时分别做编码避免直接使用危险 API少用innerHTML慎用document.write尽量用textContent、setAttribute使用白名单过滤库如 DOMPurify开启 CSPContent Security Policy限制脚本来源降低注入脚本执行风险Cookie 加 HttpOnly即使 XSS 发生也降低 Cookie 被 JS 直接读取的风险面试加分说法XSS 的核心防御不是单纯“过滤标签”而是根据输出位置做正确编码因为不同上下文的风险不一样。2CSRF跨站请求伪造是什么攻击者诱导用户在已登录目标网站的情况下访问恶意页面借助浏览器自动携带 Cookie 的能力向目标站点发起伪造请求。例子用户登录了银行网站又访问了攻击者页面攻击者偷偷提交转账请求。防御CSRF Token服务端生成随机 token请求时校验SameSite Cookie限制跨站请求自动携带 CookieStrict/Lax校验 Referer / Origin判断请求来源是否合法敏感操作用二次确认验证码、短信、密码确认不要仅依赖 Cookie 认证可结合 Token 方案面试亮点CSRF 成立的前提通常是浏览器会自动带上目标站点身份凭证所以它和 XSS 不一样CSRF 利用的是“用户身份”不是“脚本执行”。3SQL 注入是什么攻击者通过拼接恶意 SQL 片段改变原有查询逻辑。例子SELECT * FROM users WHERE username admin AND password 123如果直接拼接字符串可能被构造注入语句。危害绕过登录查询敏感数据修改、删除数据库提权防御参数化查询 / 预编译最核心、最有效不要拼接 SQL后端校验输入最小权限原则数据库账号不要给过高权限错误信息不要直接暴露给前端面试加分说法SQL 注入的关键防御不是“过滤单引号”而是使用参数化查询从根源上把数据和 SQL 语句结构分离。4点击劫持Clickjacking是什么攻击者把目标网站嵌入到透明 iframe 中诱导用户点击看起来点的是别的按钮实际上点的是目标网站上的敏感操作。防御设置响应头X-Frame-Options: DENY/SAMEORIGIN使用 CSPframe-ancestors对关键操作增加确认流程5中间人攻击MITM是什么攻击者在通信链路中拦截和篡改数据。危害窃取账号密码篡改返回内容注入恶意脚本防御全站 HTTPS证书校验HSTS强制使用 HTTPS不加载不安全的混合内容面试加分点HTTPS 的意义不仅是加密还包括身份认证和完整性校验能有效降低中间人攻击风险。6文件上传漏洞是什么攻击者上传恶意文件比如脚本文件、木马文件进而执行服务器命令或控制系统。防御限制文件类型不只看后缀还要检查 MIME、文件头重命名上传文件上传目录禁止执行限制文件大小做病毒扫描不要把上传目录映射成可执行路径7暴力破解 / 撞库是什么攻击者批量尝试用户名密码组合进行登录。防御登录限流验证码错误次数锁定异常登录告警MFA 多因素认证密码加盐哈希存储8会话劫持 / Session 劫持是什么攻击者盗取用户的 Session ID 或 Token伪装成合法用户访问系统。防御Cookie 设置HttpOnlySecureSameSite敏感操作校验身份Session 过期机制登录态变更时刷新 Session避免在 URL 中传 Session ID9CORS 配置不当是什么后端跨域配置过宽比如随意允许任意来源并带凭证可能导致敏感接口被滥用。防御精确配置允许来源不要随意Access-Control-Allow-Origin: *带凭证时不能配*仅开放必要方法和头部10敏感信息泄露常见情况前端打包暴露密钥错误堆栈直接返回给用户接口返回过多用户信息日志打印敏感数据sourceMap 线上泄漏防御前端不保存真正的私钥、密钥后端错误信息脱敏接口最小返回原则生产环境谨慎开放 sourceMap日志脱敏三、面试时如何把“防御思路”讲得更系统如果面试官问“怎么防御”不要只是一个个零散地背。你可以总结成一个通用安全模型1输入校验任何来自用户、URL、表单、Header、文件的数据都不可信。2输出编码根据输出上下文进行转义HTML 编码属性编码URL 编码JS 编码3身份校验与权限控制登录鉴权RBAC 权限模型最小权限原则4安全传输HTTPSHSTSSecure Cookie5浏览器安全策略CSPSameSite CookieX-Frame-OptionsX-Content-Type-Options6服务端兜底前端校验只是体验优化真正安全校验必须在服务端完成。这句话最好一定说出来前端安全从来不是单独依赖前端真正的安全校验必须以后端为准。这是高频加分句。四、前端开发角度最常遇到的安全问题如果岗位是前端岗这里特别重要。你可以这样说如果站在前端岗位角度我最关注的安全问题一般是 XSS、CSRF、点击劫持、Token/Cookie 安全、CORS 配置以及前端资源和敏感信息泄露。因为这些问题和页面渲染、接口调用、登录态管理、安全响应头配置关系最直接。这样更贴岗位。五、面试怎么回答更精彩下面给你一个比较成熟的口语化版本。标准版回答Web 常见攻击方式我通常会重点关注 XSS、CSRF、SQL 注入、点击劫持、中间人攻击、文件上传漏洞、会话劫持和敏感信息泄露这些。其中前端最常见的是 XSS 和 CSRF。XSS 本质是恶意脚本注入页面执行危害包括窃取用户信息、冒充用户操作、篡改页面等。防御核心是输入校验、输出编码、避免使用危险 DOM API、配合 CSP 和 HttpOnly Cookie。CSRF 则是利用浏览器自动携带身份凭证的机制伪造请求核心防御方式是 CSRF Token、SameSite Cookie、校验 Origin/Referer以及对敏感操作做二次确认。服务端层面常见的是 SQL 注入防御重点是参数化查询和最小权限原则传输层则要通过 HTTPS、HSTS 来防中间人攻击。另外像点击劫持可以通过X-Frame-Options或frame-ancestors防御文件上传则要做类型校验、重命名和禁止执行。我觉得 Web 安全的核心思路可以总结为输入不可信、输出要编码、权限要最小化、传输要加密、关键校验以后端为准。如果站在前端岗位角度我会尤其关注 XSS、CSRF、CORS、安全响应头以及登录态的安全设计。这段基本就很强了。六、如果想答得更高级可以补充这些“工程化”点1CSPCSP 不是用来替代 XSS 防御的而是作为最后一道防线限制脚本来源、降低注入脚本执行成功率。2SameSite现在浏览器对 Cookie 的SameSite支持已经比较普遍实际项目里这是防 CSRF 很实用的一层防线。3前后端职责前端更多负责减少暴露面和提高攻击成本但真正安全边界一定在服务端。4安全不是单点防御安全通常要分层防御比如 XSS 不只是过滤输入还要编码、CSP、Cookie 安全、审计一起做。这几句很有深度。七、常见面试追问1XSS 和 CSRF 的区别是什么XSS攻击者把脚本注入页面在受害者浏览器中执行。CSRF攻击者借助受害者已登录身份伪造请求。一句话XSS 利用的是“浏览器执行恶意脚本”CSRF 利用的是“浏览器自动带上身份凭证”2为什么有了 Token 还可能有 CSRF如果 Token 存在 Cookie 中并自动携带依然可能有 CSRF 风险。如果 Token 放在Authorization头里由前端手动带CSRF 风险会低很多但仍要关注 XSS。3HttpOnly 能完全防住 XSS 吗不能。它只能防止 JS 直接读取 Cookie不能阻止恶意脚本执行。XSS 仍然可能发起恶意请求、篡改页面。4前端做了校验为什么后端还要校验因为前端校验可以被绕过请求可以直接伪造。所以安全校验必须放在后端兜底。5CSP 能完全解决 XSS 吗不能完全解决但能显著降低风险是很重要的防御手段之一。八、精简版面试回答如果时间比较紧可以这样答Web 常见攻击方式主要有 XSS、CSRF、SQL 注入、点击劫持、中间人攻击、文件上传漏洞和会话劫持等。其中前端最常遇到的是 XSS 和 CSRF。XSS 是恶意脚本注入页面执行防御重点是输入校验、输出编码、避免危险 DOM API、配合 CSP 和 HttpOnly。CSRF 是利用浏览器自动携带 Cookie 伪造请求防御重点是 CSRF Token、SameSite Cookie、校验 Origin/Referer。SQL 注入要靠参数化查询防御点击劫持可以通过X-Frame-Options或 CSP 的frame-ancestors防御中间人攻击则要依赖 HTTPS 和 HSTS。我理解 Web 安全的核心思路是输入不可信、输出要编码、权限最小化、传输要加密而且真正的安全校验以后端为准。九、一句话总结面试官最想听的是你是否知道常见攻击类型你能不能说清原理 危害 防御你有没有前端视角和工程化思维你是否明白安全是分层防御不是单点防御