2025年信息系统安全专家WebStorage与Cookie安全机制专题试卷及解析.pdfVIP

2025年信息系统安全专家WEBSTORAGE与COOKIE安全机制专题试卷及解析1

2025年信息系统安全专家WebStorage与Cookie安全

机制专题试卷及解析

2025年信息系统安全专家WebStorage与Cookie安全机制专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、下列关于Cookie和WebStorage的说法，正确的是？

A、Cookie和WebStorage都只能在服务器端设置

B、WebStorage的存储容量比Cookie大

C、Cookie和WebStorage都会随HTTP请求自动发送

D、WebStorage比Cookie更安全，不存在任何安全风险

【答案】B

【解析】正确答案是B。WebStorage（localStorage和sessionStorage）的存储容量

通常为510MB，而Cookie只有4KB左右。A错误，WebStorage可以在客户端通过

JavaScript直接设置；C错误，只有Cookie会随HTTP请求自动发送，WebStorage

不会；D错误，WebStorage虽然不随请求发送，但仍存在XSS等安全风险。知识点：

存储机制特性对比。易错点：混淆自动发送特性。

2、设置Cookie时，HttpOnly属性的主要作用是？

A、限制Cookie只能通过HTTPS传输

B、防止客户端JavaScript访问Cookie

C、设置Cookie的过期时间

D、限制Cookie的访问域

【答案】B

【解析】正确答案是B。HttpOnly属性用于防止通过document.cookie等JavaScript

API访问Cookie，有效防止XSS攻击窃取Cookie。A是Secure属性的作用；C是

Expires/MaxAge的作用；D是Domain属性的作用。知识点：Cookie安全属性。易错

点：混淆HttpOnly和Secure属性。

3、关于localStorage和sessionStorage的区别，描述正确的是？

A、localStorage容量更大

B、sessionStorage支持跨标签页访问

C、localStorage持久化存储，sessionStorage会话级存储

D、sessionStorage只能存储字符串

【答案】C

【解析】正确答案是C。localStorage数据持久化存储直到手动清除，sessionStorage

仅在当前会话（标签页）有效。A错误，两者容量相同；B错误，sessionStorage不跨标

2025年信息系统安全专家WEBSTORAGE与COOKIE安全机制专题试卷及解析2

签页；D错误，两者都只能存储字符串。知识点：WebStorage类型差异。易错点：混

淆生命周期特性。

4、下列哪种攻击方式主要针对WebStorage？

A、CSRF攻击

B、SQL注入

C、XSS攻击

D、DDoS攻击

【答案】C

【解析】正确答案是C。XSS攻击可以注入恶意脚本读取或修改WebStorage数据。

CSRF主要利用Cookie自动发送特性；SQL注入针对数据库；DDoS是拒绝服务攻击。

知识点：WebStorage安全威胁。易错点：忽略XSS对客户端存储的影响。

5、设置Cookie的SameSite属性为Strict时，表示？

A、允许所有跨站请求携带Cookie

B、仅允许同站请求携带Cookie

C、允许部分跨站请求携带Cookie

D、完全禁用Cookie

【答案】B

【解析】正确答案是B。SameSite=Strict表示仅允许同站请求（顶级域名+二级域

名相同）携带Cookie。A是None值的效果；C是Lax值的效果；D错误，SameSite

不会完全禁用Cookie。知识点：SameSite属性值。易错点：混淆Strict和Lax的区别。