面试-工程

Git 常用指令

• git init 创建一个空 git 代码库或初始化现有的 git 代码库
• git clone 从远程克隆一个代码库到本地
• git pull 从远程仓库或其他本地分支获取更新并与当前仓库分支合并
• git push 将本地分支更新推送到远程仓库
• git fetch 从远程仓库获取更新
• git add 添加更新到暂存区
• git commit 提交暂存区到仓库区

常见前端网络安全漏洞

• XSS 攻击 - 跨站脚本攻击

攻击者向网站中注入恶意代码，使得其在浏览器中执行，并用于恶意目的如盗取客户端信息等

浏览器将恶意代码当成正常代码的一部分执行而导致

避免服务端拼接代码；充分转义将插入代码的内容；指定 CSP 策略，控制允许加载和执行的外部资源；敏感资源保护，如 Cookie 的 HttpOnly 策略、验证码等

• CSRF 攻击 - 跨站请求伪造攻击

攻击者诱导用户进入第三方网站，随后第三方网站向被攻击网站发送跨站请求，利用用户保存的登录态执行恶意操作

Cookie 会在同源请求中自动携带并发送给服务器

进行同源检测，利用 origin 头和 referer 头；设置 Cookie 为 SameOrigin，阻止第三方页面使用该 Cookie；启用 Cookie 双重验证，将 Cookie 放入请求参数；使用 CSRF Token，请求参数中使用专属 token 验证身份