面试题答案
一键面试性能优化减少跨域请求额外开销
- 使用 CORS(跨域资源共享)
- 配置合理的预检请求缓存:对于复杂请求(如非简单请求,涉及自定义头、PUT 等方法),浏览器会先发送预检请求(OPTIONS)。服务器可以通过设置
Access - Control - Max - Age头,指定预检请求的结果可以被缓存的最长时间。例如,设置为86400(秒),意味着一天内相同的预检请求浏览器无需再次发送,减少网络开销。 - 优化 CORS 配置:只允许必要的源进行跨域访问,避免设置通配符
*作为允许的源。精确的源配置可以减少不必要的请求处理,提高性能。
- 配置合理的预检请求缓存:对于复杂请求(如非简单请求,涉及自定义头、PUT 等方法),浏览器会先发送预检请求(OPTIONS)。服务器可以通过设置
- JSONP
- 适用场景:在只需要进行 GET 请求获取数据的场景下,JSONP 是一种轻量级的跨域解决方案。它利用
<script>标签不受同源策略限制的特性来请求数据。 - 性能优势:避免了复杂的 CORS 预检请求流程,直接通过动态创建
<script>标签并插入到页面中,获取到数据后执行回调函数处理数据,在一定程度上减少了请求开销。
- 适用场景:在只需要进行 GET 请求获取数据的场景下,JSONP 是一种轻量级的跨域解决方案。它利用
- 代理服务器
- 正向代理:在客户端和目标服务器之间设置正向代理服务器。客户端将跨域请求发送到代理服务器,代理服务器再将请求转发到目标服务器,并将响应返回给客户端。这样可以将多个跨域请求合并为一个到代理服务器的请求,减少客户端与不同域服务器的直接交互次数,同时代理服务器可以对响应进行缓存,提高后续相同请求的响应速度。
- 反向代理:目标服务器端设置反向代理服务器,客户端的跨域请求先到达反向代理服务器,反向代理服务器可以对请求进行优化处理,如压缩响应数据、缓存经常访问的资源等,减少客户端获取数据的时间开销。
安全风险及防范
- CSRF(跨站请求伪造)风险
- 风险描述:攻击者利用用户已登录的会话,在用户不知情的情况下,诱使用户访问包含恶意请求的页面,该请求会携带用户的认证信息,向目标服务器发起跨域请求,执行非用户意愿的操作。
- 防范措施:
- 使用 CSRF 令牌:服务器在生成页面时,为每个表单或重要操作生成一个唯一的 CSRF 令牌,并将其包含在页面中。当用户提交表单或发起请求时,请求中需携带该令牌。服务器验证请求中的令牌与服务器端存储的令牌是否一致,不一致则拒绝请求。
- Same - Site Cookie 属性:设置 Cookie 的
Same - Site属性为Strict或Lax。Strict模式下,Cookie 仅在同一站点的请求中发送,完全阻止跨站请求携带 Cookie;Lax模式相对宽松,允许一些安全的跨站请求(如 GET 请求)携带 Cookie,但对于 POST 等可能修改数据的请求则不允许跨站携带 Cookie。
- XSS(跨站脚本攻击)风险
- 风险描述:攻击者将恶意脚本注入到网页中,当用户访问该网页时,恶意脚本会在用户浏览器中执行,可能获取用户的敏感信息(如 Cookie),然后利用这些信息发起跨域请求,进行非法操作。
- 防范措施:
- 输入验证和输出编码:对用户输入的数据进行严格验证,确保输入符合预期格式,不包含恶意脚本。同时,对输出到页面的数据进行编码,将特殊字符转换为 HTML 实体,防止恶意脚本被解析执行。
- Content - Security - Policy(CSP):服务器通过设置
Content - Security - Policy头,限制页面可以加载的资源来源。例如,设置default - src'self'表示默认只允许从当前源加载资源,有效防止外部恶意脚本的注入。
- 信息泄露风险
- 风险描述:跨域请求可能导致敏感信息泄露,如错误信息中包含服务器内部信息、数据库结构等,攻击者可以利用这些信息进一步发起攻击。
- 防范措施:
- 错误处理优化:在服务器端对错误进行处理,避免向客户端返回详细的错误信息,尤其是包含敏感信息的错误信息。返回通用的错误提示,如“服务器内部错误,请稍后重试”。
- 严格的权限控制:确保跨域请求只能访问到允许的资源,对不同的用户角色和请求类型设置严格的权限,防止越权访问导致信息泄露。