网络安全面试HTTP相关面试题.docVIP

  • 1
  • 0
  • 约1.73千字
  • 约 4页
  • 2026-07-17 发布于湖南
  • 举报

HTTP相关面试题

请解释HTTP协议的无状态特性及其对安全防护的挑战,并说明常见解决方案

HTTP协议本身不保存客户端状态信息,每次请求独立处理。这导致会话管理困难,攻击者可利用该特性进行会话劫持。解决方案包括:

。使用Session机制(服务器端存储)配合Cookie传递SessionID

。采用JWTToken实现分布式会话管理

。通过HTTPStrictTransportSecurity(HSTS)强制HTTPS连接

如何防御HTTP请求走私攻击?请说明其原理及防护措施

攻击原理:利用代理服务器与后端服务器对请求边界解析不一致,注入恶意请求。防御措施:

。统一前端代理与后端服务器的HTTP协议版本

。禁用Transfer-Encoding:chunked与Content-Length头共存

。配置WAF规则检测异常请求格式

3.详细说明HTTPS的TLS握手过程及关键加密算法

1.ClientHello:客户端发送支持的TLS版本、密码套件及随机数

2.ServerHello:服务端选择密码套件,返回证书和随机数

3.密钥交换:ECDHE算法生成预主密钥,通过证书公钥加密传输

4.会话密钥:双方通过PRF函数生成AES-GCM对称密钥

5.Finished:验证握手完整性,建立加密信道

解释HTTP/2协议如何解决队头阻塞问题,并分析其安全改进

技术实现:

文档评论(0)

1亿VIP精品文档

相关文档