前端面试题：Web 安全

1. 常见的前端安全问题有哪些？

• XSS（跨站脚本攻击）。
• CSRF（跨站请求伪造）。
• 代码注入。
• 点击劫持。

2. 如何防止 XSS？

• 对用户输入进行转义。
• 使用内容安全策略（CSP）。
• 避免 innerHTML 和不安全的模板插值。

3. 如何防止 CSRF？

• 使用 SameSite Cookie。
• 验证 CSRF Token。
• 使用双重提交 Cookie。

4. 什么是内容安全策略（CSP）？

• 浏览器机制，用于限制资源加载来源。
• 可以防止 XSS 和资源注入。
• 常见配置包括 default-src、script-src、style-src。

5. 如何保护客户端存储的数据？

• 不在 LocalStorage 存储敏感令牌。
• 使用 HttpOnly Cookie 存储认证信息。
• 加强输入验证，避免注入攻击。

6. 面试常问的浏览器安全机制有哪些？

• 同源策略（SOP）。
• CORS。
• CSP。
• Sandbox。