2025年通信工程师跨域资源共享机制与安全风险专题试卷及解析.pdfVIP

2025年通信工程师跨域资源共享机制与安全风险专题试卷及解析1

2025年通信工程师跨域资源共享机制与安全风险专题试卷

及解析

2025年通信工程师跨域资源共享机制与安全风险专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在跨域资源共享（CORS）机制中，以下哪个HTTP头部字段用于指定允许访

问资源的源服务器？

A、AccessControlAllowOrigin

B、AccessControlRequestOrigin

C、Origin

D、AccessControlAllowMethods

【答案】A

【解析】正确答案是A。AccessControlAllowOrigin是服务器端响应头，用于指定哪

些源可以访问该资源。B选项AccessControlRequestOrigin是浏览器在预检请求中发送

的头部，表示实际请求将来自哪个源。C选项Origin是浏览器在发送跨域请求时自动

添加的头部，表示请求的来源。D选项AccessControlAllowMethods用于指定允许的

HTTP方法。知识点：CORS机制中的HTTP头部字段及其作用。易错点：容易混淆

请求头和响应头的功能，特别是Origin和AccessControlAllowOrigin的区别。

2、在跨域资源共享的安全风险中，以下哪种攻击方式利用了CORS配置不当的问

题？

A、SQL注入

B、CSRF攻击

C、XSS攻击

D、DDoS攻击

【答案】B

【解析】正确答案是B。CSRF（跨站请求伪造）攻击利用了CORS配置不当的问

题，当服务器设置过于宽松的CORS策略时，攻击者可以诱导用户浏览器向目标服务

器发送恶意请求。A选项SQL注入是针对数据库的攻击方式。C选项XSS（跨站脚本）

是注入恶意脚本到网页中。D选项DDoS（分布式拒绝服务）是通过大量请求使服务器

瘫痪。知识点：CORS安全风险及相关攻击方式。易错点：容易混淆XSS和CSRF攻

击，两者虽然都与跨域有关，但原理和利用方式不同。

3、在跨域资源共享中，以下哪种请求不需要发送预检请求（PreflightRequest）？

A、PUT请求

B、DELETE请求

C、带有自定义头部字段的GET请求

2025年通信工程师跨域资源共享机制与安全风险专题试卷及解析2

D、简单GET请求

【答案】D

【解析】正确答案是D。简单GET请求属于简单请求，不需要发送预检请求。简单

请求包括使用GET、HEAD或POST方法，且POST请求的ContentType为appli-

cation/xwwwformurlencoded、multipart/formdata或text/plain，且没有自定义头部字

段。A选项PUT请求、B选项DELETE请求和C选项带有自定义头部字段的GET

请求都属于非简单请求，需要先发送预检请求。知识点：CORS中的简单请求和非简单

请求区别。易错点：容易忽略POST请求的ContentType限制，误认为所有POST请

求都是简单请求。

4、在跨域资源共享的安全策略中，以下哪种做法是最不安全的？

A、设置AccessControlAllowOrigin为特定域名

B、设置AccessControlAllowOrigin为

C、使用凭证信息（credentials）时设置AccessControlAllowOrigin为

D、使用凭证信息时设置AccessControlAllowOrigin为特定域名

【答案】C

【解析】正确答案是C。使用凭证信息（如cookies、HTTP认证等）时，如果设置

AccessControlAllowOrigin为，浏览器会阻止响应，这是最不安全的做法，可能导致敏

感信息泄露。A选项设置AccessControlAllowOrigin为特定域名是推荐做法。