顺丰一面

如何避免伪造支付场景

1. 使用 HTTPS 确保所有前端到后端的通信都通过 HTTPS 进行。这保证了数据在传输过程中的完整性和机密性，防止中间人攻击。 2.不要在前端存储或操作任何支付敏感数据

前后端严格校验数据 前端验证：对用户输入的支付信息进行基本的前端校验，比如银行卡号、有效期、CVV等格式的校验。尽管这不能完全防止伪造，但可以减少不规范或明显错误的数据被提交。 后端验证：在后端确保所有支付信息都是有效的。不要依赖前端的验证，因为前端数据可以被用户修改或伪造。

1. 避免在前端存储敏感数据 敏感数据不可存储：不要在前端保存用户的支付信息。即使短期存储，也应通过支付网关返回的临时凭证（token）代替敏感数据存储。 使用 tokenization：通过支付网关的 Token 化功能，将支付信息转换为临时的 token，前端与后端仅交换 token，而非直接的支付信息。
2. 使用 CSRF 保护 实施跨站请求伪造（CSRF）保护措施。使用 CSRF token 确保所有支付请求都是从合法的源发出的，而不是从第三方伪造的网站发起。 CSRF token 应该在每个支付表单中动态生成，并且验证每次支付请求是否包含合法的 token。

CSRF攻击原理CSRF（Cross-Site Request Forgery，跨站请求伪造）是一种网络攻击方式，攻击者诱导用户浏览器在用户不知情的情况下执行一些用户身份认证的敏感操作，例如转账、删除数据或更改账户设置等。这种攻击利用了用户的身份认证状态（例如浏览器中存储的 cookies）和受信任网站的漏洞，来发送伪造的请求。

除了CSRF攻击 还有哪些安全问题跨站脚本攻击（Cross-Site Scripting, XSS） 是指攻击者向受信任的网页中注入恶意脚本（通常是 JavaScript）。当用户访问该页面时，恶意脚本会在用户的浏览器中执行，从而窃取用户信息或冒充用户身份执行操作。XSS 攻击类型：反射型 XSS：恶意脚本通过 URL 参数注入，服务器将未经过滤的参数返回给客户端，用户访问链接时执行恶意代码。存储型 XSS：恶意脚本存储在服务器的数据库中，受害者每次访问页面时都会执行恶意代码。DOM型 XSS：攻击者通过修改页面的客户端 JavaScript 来执行代码，攻击发生在浏览器端。SQL 注入（SQL Injection, SQLi） 攻击是指攻击者通过操纵应用程序的 SQL 查询，向数据库插入恶意 SQL 代码，从而访问、修改、删除或破坏数据库中的数据。通过这种方式，攻击者可以绕过身份验证、窃取数据或执行数据库管理员权限的操作。

http和https的区别

为什么https更安全

如何解决优化加载慢的问题

白屏时间久的原因

为什么文件大会造成页面白屏

acync和await是用来干嘛的