1. HTTPS 概念

• 加密（Encryption）
  • 防止數(shù)據(jù)被截獲
• 數(shù)據(jù)完整性（Data Integrity）
  • 防止數(shù)據(jù)篡改
• 身份驗證（Authentication）
  • 驗證網(wǎng)站的真實性

2. HTTPS 與 HTTP 的區(qū)別

• HTTP 是明文傳輸，HTTPS 是加密傳輸
• HTTP 使用 80 端口，HTTPS 使用 443 端口
• HTTPS 加密會導致傳輸稍慢

3. HTTPS 防止的安全威脅

• 中間人攻擊（MITM）
  • 加密避免數(shù)據(jù)被攔截和篡改
• 竊聽（Eavesdropping）
  • 通過加密防止數(shù)據(jù)被監(jiān)聽
• 篡改（Data Tampering）
  • 確保數(shù)據(jù)在傳輸過程中不被篡改
• 假冒網(wǎng)站（Phishing）
  • 證書驗證防止訪問假冒網(wǎng)站

4. 安全相關話題

• 前端數(shù)據(jù)加密
  • 使用 Web Crypto API 加密用戶數(shù)據(jù)
• XSS（跨站腳本攻擊）
  • 輸入驗證
  • HTML 轉義
  • Content Security Policy (CSP)
• CSRF（跨站請求偽造）
  • 同源策略（Same-Origin Policy）
  • CSRF Token
• HTTP 安全頭（HTTP Headers）
  • Strict-Transport-Security (HSTS)
  • X-Content-Type-Options
  • X-Frame-Options
  • Content-Security-Policy (CSP)
• 身份驗證與授權
  • OAuth
  • JWT（JSON Web Token）

5. 安全存儲和傳輸

• 密碼存儲
  • 哈希（bcrypt）
• 數(shù)據(jù)加密存儲
  • 對稱加密和非對稱加密

6. HTTP 版本區(qū)別（1.0, 2.0, 3.0）

• HTTP 1.0
  • 請求/響應模型：每個請求都需要建立一個連接
  • 沒有管道化和多路復用
  • 缺乏性能優(yōu)化
• HTTP 2.0
  • 引入了多路復用，可以在一個連接上同時處理多個請求
  • 數(shù)據(jù)幀和流的概念，提高了性能
  • 壓縮請求和響應頭，減少延遲
• HTTP 3.0
  • 基于 QUIC 協(xié)議（UDP），進一步減少延遲
  • 解決了 HTTP 2.0 在高延遲和丟包情況下的性能問題
  • 更好的安全性，內(nèi)置 TLS 1.3

7. 強緩存與弱緩存

• 強緩存
  • 瀏覽器會直接使用緩存的內(nèi)容，不發(fā)請求到服務器
  • 基于 Cache-Control 和 Expires 頭部控制
  • 例如：Cache-Control: max-age=3600
• 弱緩存
  • 瀏覽器會先發(fā)請求到服務器，檢查資源是否變化，如果沒有變化則使用緩存
  • 基于 ETag 或 Last-Modified 頭部控制
  • 例如：If-None-Match: "etag-value"

8. 相關面試問題及答案

Q1: HTTPS 和 HTTP 的區(qū)別是什么？

• HTTP 是明文傳輸，HTTPS 在 HTTP 上加入了 SSL/TLS 加密協(xié)議，確保數(shù)據(jù)傳輸?shù)臋C密性、完整性和身份驗證。HTTPS 使用 443 端口，而 HTTP 使用 80 端口。

Q2: HTTPS 如何防止中間人攻擊？

• HTTPS 使用 SSL/TLS 加密傳輸，防止了第三方攔截、篡改數(shù)據(jù)。在通信過程中，雙方會驗證彼此的身份（通過證書），并通過加密保護數(shù)據(jù)內(nèi)容。

Q3: 如何防止 XSS 和 CSRF 攻擊？

• XSS：輸入驗證、HTML 轉義、使用 Content Security Policy (CSP) 防止惡意腳本注入。
• CSRF：使用 CSRF Token、雙重提交 Cookie 或者通過 SameSite 屬性限制跨站請求。

Q4: 如何配置瀏覽器安全性頭部？

• Strict-Transport-Security (HSTS)：要求瀏覽器僅通過 HTTPS 連接。
• X-Content-Type-Options：防止瀏覽器根據(jù)內(nèi)容推測 MIME 類型。
• X-Frame-Options：防止網(wǎng)頁被嵌入在 iframe 中，減少點擊劫持攻擊。
• Content-Security-Policy (CSP)：限制瀏覽器加載的內(nèi)容類型，防止 XSS 攻擊。

Q5: 前端如何保護用戶的敏感信息？

• 使用 HTTPS 加密傳輸數(shù)據(jù)。
• 在客戶端存儲時對敏感數(shù)據(jù)進行加密。
• 使用 HTTP Only 和 Secure 屬性來保護 Cookie。
• 定期更新和管理認證 token，使用 JWT 進行身份驗證。

Q6: HTTP 1.0 和 HTTP 2.0 有哪些主要區(qū)別？

• HTTP 1.0 使用每個請求一個連接，而 HTTP 2.0 引入了多路復用技術，允許在一個連接上同時發(fā)送多個請求和響應，從而減少延遲和提高性能。

Q7: 什么是強緩存和弱緩存，如何配置？

• 強緩存：在資源有效期內(nèi)，瀏覽器不會向服務器發(fā)送請求，直接使用緩存。
  • 配置：Cache-Control: max-age=3600
• 弱緩存：瀏覽器會檢查緩存是否過期，如果過期則向服務器請求新的資源。
  • 配置：ETag 或 Last-Modified

Q8: 如何避免 CSRF 攻擊？

• 使用 CSRF Token：為每個請求生成唯一的 Token，服務器驗證 Token 來確保請求來自合法的用戶。
• 使用 SameSite Cookie 屬性：限制第三方網(wǎng)站發(fā)送跨站請求。