Engineer Interview Hub
安全性 基礎

XSS 跨站腳本攻擊與防禦

AI 練習作答

請說明 XSS 攻擊類型及防禦策略。

XSS 類型

Stored XSS

惡意腳本存入資料庫,每次頁面渲染都執行,危害最大。

Reflected XSS

惡意腳本夾在 URL 參數中,服務器直接反射到頁面。

DOM-based XSS

純前端操作 DOM 時,不安全地插入使用者輸入。

防禦策略

輸出編碼

在 HTML 輸出時對特殊字元(<, >, ", &)進行 HTML 編碼。

Content Security Policy (CSP)

透過 HTTP Header 告知瀏覽器只允許執行指定來源的腳本。

設定 Cookie 為 HttpOnly,阻止 JS 讀取 Session Token。

框架防護

React、Vue 預設對模板插值進行轉義,避免直接使用 dangerouslySetInnerHTML。

✦ AI 模擬面試

輸入你的答案,AI 即時分析精準度與改進空間

登入後即可使用 AI 評分

← 上一題

微服務 vs 單體架構:如何做技術選型?

下一題 →

CSRF 跨站請求偽造與防禦