从ajax到跨域引发的相关面试题总结

转载请注明出处：

(资料图片)

Ajax是一种基于JavaScript语言和XMLHttpRequest对象的异步数据传输技术，通过它可以使不用刷新整个页面的情况下，对页面进行部分更新。

同步和异步是指客户端发送请求时，主线程是否会阻塞等待服务器的响应返回。

同步请求在发送请求后，客户端主线程就会被阻塞，等待服务器响应返回后再继续执行，期间无法进行其他操作。如果服务器响应时间长，客户端就会一直等待，直到服务器返回数据为止。

异步请求则不会阻塞主线程，客户端发送异步请求后，继续执行主线程中的其他操作，不会等待服务器响应。当服务器接收到异步请求后，可以立即返回一个响应，客户端通过回调函数来处理这个响应，从而实现异步数据传输。

在Ajax中，使用异步请求可以提供更好的用户体验，因为它不会阻塞用户的操作，而同步请求会阻塞页面。但是，异步请求也有一些缺点，比如服务器返回的数据可能无序，需要通过回调函数来处理；另外，异步请求会增加网络负载。

同步和异步请求的区别在于是否阻塞主线程，以及请求和响应之间的顺序和时间。根据实际情况选择适合的方式可以提高性能和用户体验。

会跨域。 在浏览器中，使用Ajax进行跨域请求会产生跨域问题。由于浏览器的同源策略（Same-Origin Policy）限制，一个网页的脚本只能访问同源（即域名、协议、端口均相同）的资源，不能访问其他域名下的资源，否则就会产生跨域问题。

最常用的解决方法：

JSONP：利用script标签的src属性没有跨域限制的特性，通过动态插入script标签实现跨域请求，并通过回调函数的方式返回数据。

CORS：使用CORS（跨域资源共享）实现跨域请求。在服务端设置Access-Control-Allow-Origin响应头，允许指定的源访问资源。

代理：在同源的服务器上设置代理，将客户端的请求转发到目标服务器上，再将目标服务器的响应返回给客户端。

跨域是指在同一个域名下使用不同端口、协议、子域名等方式访问资源时，浏览器为了安全考虑，会限制页面中的跨域访问。例如，http://www.example.com域名下的网页想要访问http://api.example.com域名下的资源，就会被浏览器限制，这就是跨域问题。

跨域问题是由于浏览器的同源策略导致的。同源策略是浏览器的一个安全机制，它要求页面中的脚本只能访问同源的资源，即协议、域名、端口号必须完全一致。同源策略可以保护用户的隐私和安全，防止恶意脚本攻击用户的数据。 为了解决跨域问题，可以使用JSONP、CORS、代理等方式进行跨域访问。

跨域请求的校验是为了防止恶意请求攻击的一种安全措施。如果没有跨域请求的校验，可能会带来以下安全方面的问题:

恶意请求攻击：由于跨域请求是不受跨域防御机制保护的，因此恶意网站可以通过伪造跨域请求来获取敏感信息，例如用户凭证、信用卡信息等。

拒绝服务攻击：跨域请求的攻击者可以通过发送大量的恶意请求来占用服务器资源，导致合法用户无法正常使用服务。

数据泄露：如果没有跨域请求的校验，敏感数据可能在跨域请求中被窃取，例如用户凭证等。

恶意脚本攻击：跨域请求可以被恶意脚本利用，例如通过恶意图片、视频等资源加载脚本，从而执行恶意代码，导致系统中毒、文件损坏等问题。

因此，在实际应用中，必须采取一些措施来确保跨域请求的安全性，例如使用 HTTP Authorization、Cookie、跨域资源共享 (CORS) 等机制来防止恶意攻击。

CSRF（Cross Site Request Forgery），中文名称为跨站请求伪造，是一种常见的Web攻击方式。攻击者通过某种方式欺骗用户在受信任的网站上执行某些操作，从而达到攻击的目的。CSRF攻击的流程通常如下：

用户登录受信任的网站A，并在该网站上保持登录状态。

用户在未退出网站A的情况下，访问恶意网站B。

恶意网站B中嵌入了一个指向网站A的请求，并通过某种方式欺骗用户让其点击该请求。

用户点击了该请求后，浏览器会自动向网站A发送请求，执行某些操作，例如发帖、转账等。

网站A无法区分这个请求是用户自己发出的，还是恶意网站B伪造的，从而执行了该请求。 攻击者可以通过各种方式欺骗用户点击请求，例如通过电子邮件、社交网络、网络广告等方式，从而进行CSRF攻击。为了防止CSRF攻击，网站可以采取一些措施，例如：

在表单中添加CSRF令牌，验证请求是否来自受信任的网站。

检查请求头中的Referer字段，判断请求是否来自受信任的网站。

限制敏感操作的访问权限，例如需要用户进行二次身份验证。

及时更新网站的安全补丁，防止被攻击者利用漏洞进行攻击。

提高用户的安全意识，避免在不受信任的网站上输入敏感信息或进行敏感操作。

伪造跨域请求并不总是 CSRF(Cross-Site Request Forgery) 攻击。

CSRF 攻击是指攻击者通过伪装成合法用户的身份，向目标网站发送跨域请求，从而获取目标网站的敏感信息，例如用户凭证、信用卡信息等。伪造跨域请求是 CSRF 攻击的一种形式，但并不是所有的伪造跨域请求都是 CSRF 攻击。

通常情况下，伪造跨域请求是指攻击者伪造一个与目标网站域名相同的页面或者请求，使得用户点击这个伪造页面或者请求时，用户的浏览器会误认为是用户在操作，从而执行攻击者的恶意代码或者获取用户敏感信息。这种攻击方式也被称为 XSRF(Cross-Site Request Forgery) 攻击。

因此，仅仅因为一个请求是跨域请求，并不能确定这个请求是不是 CSRF 攻击。要确定一个请求是不是 CSRF 攻击，需要结合其他因素，例如请求的参数、浏览器的日志等来进行综合分析。

为了防范CSRF攻击，我们可以采取以下措施：

验证HTTP Referer头部信息：检查请求头中的Referer字段，判断请求是否来自受信任的网站。但是Referer头部信息可能会被篡改，因此该方法并不是完全可靠的。

添加随机Token：在表单中添加随机数或Token，并在后台进行验证，确保提交请求的来源是合法的。这种方法是目前比较常用的方法，也是较为可靠的。一般来说，Token应该在每次请求时动态生成，同时Token应该有一定的时效性，以避免被攻击者盗用。

添加验证码：在提交敏感操作的表单时，要求用户输入验证码，以确保提交请求的来源是合法的。这种方法虽然比较繁琐，但可以有效地防止CSRF攻击。

采用双重Cookie验证：在用户登录时，生成两个Cookie，一个Cookie存储用户身份信息，另一个Cookie存储随机字符串，后台需要验证这两个Cookie的有效性。这种方法可以有效地防止CSRF攻击。

对敏感操作的请求增加token验证：为每一次请求添加一个token参数，并在后台进行验证，确保提交请求的来源是合法的。 需要注意的是，以上措施并不是绝对可靠的，攻击者的技术也在不断提高，因此在实际应用中，我们应该综合采取以上措施，以提高系统的安全性。

Web系统的安全是一个非常重要的问题，以下是一些考虑Web系统安全的要点：

身份认证与授权：Web系统必须对用户进行身份认证和授权，以确保只有合法用户才能访问和操作系统。通常采用的方式包括用户名和密码、单点登录、OAuth等。

数据传输安全：Web系统必须确保数据在传输过程中的安全性，防止敏感信息被窃取或篡改。可以采用SSL/TLS协议进行数据加密，或者使用加密协议如HTTPS。

输入验证与过滤：Web系统必须对用户的输入进行验证和过滤，以防止SQL注入、跨站点脚本攻击（XSS）等攻击方式。可以采用输入验证库、过滤器等技术。

访问控制：Web系统必须对用户访问系统的权限进行控制，确保用户只能访问自己有权限的资源。可以采用RBAC（基于角色的访问控制）等授权机制。

安全日志和监控：Web系统必须记录用户的操作日志和异常日志，以方便后期分析和追踪。同时，还需要对系统进行监控和预警，发现安全漏洞和异常情况及时进行处理。

安全漏洞扫描和修复：Web系统需要定期进行安全漏洞扫描和修复，及时消除系统中可能存在的漏洞和安全隐患，保证系统的安全性。

Web系统的安全问题需要综合考虑，采取多种措施来保护系统的安全性。同时，还需要定期进行安全检查和漏洞修复，及时发现和解决系统中可能存在的安全问题。

关键词：