1. HTTPS 概念

• 加密（Encryption）
  • 防止數(shù)據(jù)被截獲
• 數(shù)據(jù)完整性（Data Integrity）
  • 防止數(shù)據(jù)篡改
• 身份驗(yàn)證（Authentication）
  • 驗(yàn)證網(wǎng)站的真實(shí)性

2. HTTPS 與 HTTP 的區(qū)別

• HTTP 是明文傳輸，HTTPS 是加密傳輸
• HTTP 使用 80 端口，HTTPS 使用 443 端口
• HTTPS 加密會(huì)導(dǎo)致傳輸稍慢

3. HTTPS 防止的安全威脅

• 中間人攻擊（MITM）
  • 加密避免數(shù)據(jù)被攔截和篡改
• 竊聽（Eavesdropping）
  • 通過加密防止數(shù)據(jù)被監(jiān)聽
• 篡改（Data Tampering）
  • 確保數(shù)據(jù)在傳輸過程中不被篡改
• 假冒網(wǎng)站（Phishing）
  • 證書驗(yàn)證防止訪問假冒網(wǎng)站

4. 安全相關(guān)話題

• 前端數(shù)據(jù)加密
  • 使用 Web Crypto API 加密用戶數(shù)據(jù)
• XSS（跨站腳本攻擊）
  • 輸入驗(yàn)證
  • HTML 轉(zhuǎn)義
  • Content Security Policy (CSP)
• CSRF（跨站請求偽造）
  • 同源策略（Same-Origin Policy）
  • CSRF Token
• HTTP 安全頭（HTTP Headers）
  • Strict-Transport-Security (HSTS)
  • X-Content-Type-Options
  • X-Frame-Options
  • Content-Security-Policy (CSP)
• 身份驗(yàn)證與授權(quán)
  • OAuth
  • JWT（JSON Web Token）

5. 安全存儲(chǔ)和傳輸

• 密碼存儲(chǔ)
  • 哈希（bcrypt）
• 數(shù)據(jù)加密存儲(chǔ)
  • 對稱加密和非對稱加密

6. HTTP 版本區(qū)別（1.0, 2.0, 3.0）

• HTTP 1.0
  • 請求/響應(yīng)模型：每個(gè)請求都需要建立一個(gè)連接
  • 沒有管道化和多路復(fù)用
  • 缺乏性能優(yōu)化
• HTTP 2.0
  • 引入了多路復(fù)用，可以在一個(gè)連接上同時(shí)處理多個(gè)請求
  • 數(shù)據(jù)幀和流的概念，提高了性能
  • 壓縮請求和響應(yīng)頭，減少延遲
• HTTP 3.0
  • 基于 QUIC 協(xié)議（UDP），進(jìn)一步減少延遲
  • 解決了 HTTP 2.0 在高延遲和丟包情況下的性能問題
  • 更好的安全性，內(nèi)置 TLS 1.3

7. 強(qiáng)緩存與弱緩存

• 強(qiáng)緩存
  • 瀏覽器會(huì)直接使用緩存的內(nèi)容，不發(fā)請求到服務(wù)器
  • 基于 Cache-Control 和 Expires 頭部控制
  • 例如：Cache-Control: max-age=3600
• 弱緩存
  • 瀏覽器會(huì)先發(fā)請求到服務(wù)器，檢查資源是否變化，如果沒有變化則使用緩存
  • 基于 ETag 或 Last-Modified 頭部控制
  • 例如：If-None-Match: "etag-value"

8. 相關(guān)面試問題及答案

Q1: HTTPS 和 HTTP 的區(qū)別是什么？

• HTTP 是明文傳輸，HTTPS 在 HTTP 上加入了 SSL/TLS 加密協(xié)議，確保數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性和身份驗(yàn)證。HTTPS 使用 443 端口，而 HTTP 使用 80 端口。

Q2: HTTPS 如何防止中間人攻擊？

• HTTPS 使用 SSL/TLS 加密傳輸，防止了第三方攔截、篡改數(shù)據(jù)。在通信過程中，雙方會(huì)驗(yàn)證彼此的身份（通過證書），并通過加密保護(hù)數(shù)據(jù)內(nèi)容。

Q3: 如何防止 XSS 和 CSRF 攻擊？

• XSS：輸入驗(yàn)證、HTML 轉(zhuǎn)義、使用 Content Security Policy (CSP) 防止惡意腳本注入。
• CSRF：使用 CSRF Token、雙重提交 Cookie 或者通過 SameSite 屬性限制跨站請求。

Q4: 如何配置瀏覽器安全性頭部？

• Strict-Transport-Security (HSTS)：要求瀏覽器僅通過 HTTPS 連接。
• X-Content-Type-Options：防止瀏覽器根據(jù)內(nèi)容推測 MIME 類型。
• X-Frame-Options：防止網(wǎng)頁被嵌入在 iframe 中，減少點(diǎn)擊劫持攻擊。
• Content-Security-Policy (CSP)：限制瀏覽器加載的內(nèi)容類型，防止 XSS 攻擊。

Q5: 前端如何保護(hù)用戶的敏感信息？

• 使用 HTTPS 加密傳輸數(shù)據(jù)。
• 在客戶端存儲(chǔ)時(shí)對敏感數(shù)據(jù)進(jìn)行加密。
• 使用 HTTP Only 和 Secure 屬性來保護(hù) Cookie。
• 定期更新和管理認(rèn)證 token，使用 JWT 進(jìn)行身份驗(yàn)證。

Q6: HTTP 1.0 和 HTTP 2.0 有哪些主要區(qū)別？

• HTTP 1.0 使用每個(gè)請求一個(gè)連接，而 HTTP 2.0 引入了多路復(fù)用技術(shù)，允許在一個(gè)連接上同時(shí)發(fā)送多個(gè)請求和響應(yīng)，從而減少延遲和提高性能。

Q7: 什么是強(qiáng)緩存和弱緩存，如何配置？

• 強(qiáng)緩存：在資源有效期內(nèi)，瀏覽器不會(huì)向服務(wù)器發(fā)送請求，直接使用緩存。
  • 配置：Cache-Control: max-age=3600
• 弱緩存：瀏覽器會(huì)檢查緩存是否過期，如果過期則向服務(wù)器請求新的資源。
  • 配置：ETag 或 Last-Modified

Q8: 如何避免 CSRF 攻擊？

• 使用 CSRF Token：為每個(gè)請求生成唯一的 Token，服務(wù)器驗(yàn)證 Token 來確保請求來自合法的用戶。
• 使用 SameSite Cookie 屬性：限制第三方網(wǎng)站發(fā)送跨站請求。