因为…所以… — 从明文传输到风控系统的攻防因果推导
你在咖啡店WiFi下登录银行,黑客用Wireshark抓包 → 账号密码一览无余
因果链:因为明文可窃听 → 所以需要加密 → 因为对称加密快但密钥怎么传? → 所以用非对称加密传密钥 → 这就是TLS握手
因为Session需要服务端存储 → 集群要共享 → 复杂 → 所以Token让客户端自己携带认证信息
因为Cookie会自动携带 → 所以CSRF Token在表单中,黑客网站拿不到
因为Cookie可以跨站发送 → 所以SameSite=Strict禁止跨站Cookie
| 面试题 | 因为…所以… |
|---|---|
| HTTPS原理 | 因为明文可窃听 → 所以TLS加密:非对称传密钥+对称加密通信 |
| 密码存储方案 | 因为明文危险 → 哈希 → 因为彩虹表 → 加盐 → 因为GPU快 → bcrypt |
| Cookie vs Token vs JWT | 因为Session集群难共享 → Token无状态 → JWT自包含 |
| XSS防御 | 因为用户输入被当HTML执行 → 转义+CSP+HttpOnly |
| CSRF防御 | 因为Cookie自动携带 → CSRF Token + SameSite |
| SQL注入防御 | 因为字符串拼接 → 所以预编译:参数和SQL结构分离 |
| 限流算法 | 因为接口被刷 → 计数器→滑动窗口→令牌桶 |