防御跨站攻击，首先必须确定应用程序中用户可控制的数据被复制到响应中的每一种情形。

第1题：

跨站攻击是指攻击者利用网站程序对用户输入过滤不足，输入可以显示在页面上对其他用户造成影响的恶意代码。

第2题：

关于跨站攻击，下列说法中正确的是（）

• A、跨站攻击所攻击的是访问网页的用户
• B、跨站攻击并不能导致严重的后果
• C、跨站攻击可以盗取用户资料
• D、跨站攻击可以利用用户身份进行某种操作
• E、跨站攻击可以以类似蠕虫的方式传播

第3题：

跨站请求伪造攻击防御主要有（）。

• A、验证码
• B、请求检查
• C、反CSRF令牌
• D、输出检查
• E、端口开放

第4题：

跨站脚本攻击的主要防御手段为输入检查和（）。

• A、输出检查
• B、验证码
• C、反XSS令牌
• D、请求检查

第5题：

为了防御XSS跨站脚本攻击，我们可以采用多种安全措施，但（）是不可取的。

• A、编写安全的代码：对用户数据进行严格检查过滤
• B、可能情况下避免提交HTML代码
• C、阻止用户向Web页面提交数据
• D、即使必须允许提交特定HTML标签时，也必须对该标签的各属性进行仔细检查，避免引入javascript

第6题：

下述那些攻击手段是防火墙无法防御的？（）

• A、Smurf
• B、跨站脚本攻击
• C、畸形报文攻击
• D、后门木马
• E、winnuke攻击

第7题：

在防御XSS攻击时，对于每一处由用户提交数据所控制的响应内容，（）是关键的。

• A、检查HTTP头中的HOST字段
• B、净化输入数据
• C、检查请求的资源对象
• D、检查主机时间

第8题：

IEC 870-5-101在响应2级用户数据召唤，被控站无2级用户数据时，可以用1级用户数据响应。

第9题：

数据库是指什么（）

• A、按照某种模型组织起来的数据集合，可以被各用户或应用程序共享和利用
• B、存放在磁盘中的数据，可以被各用户或应用程序共享和利用
• C、存放在磁盘中的文件，可以被用各户或应用程序共享和利用
• D、存放数据的服务器，可以被各用户或应用程序共享和利用

第10题：

第11题：

第12题：

第13题：

跨站攻击所攻击的对象是（）

• A、访问网站页面的用户
• B、网站应用程序
• C、网站中存储的数据
• D、网站的应用服务

第14题：

下面不属于跨站请求伪造攻击防御的是（）。

• A、验证码
• B、请求检查
• C、反CSRF令牌
• D、输出检查

第15题：

针对SQL注入和XSS跨站的说法中，哪些说法是不正确的（）。

• A、SQL注入的SQL命令在用户浏览器中执行，而XSS跨站的脚本在Web后台数据库中执行
• B、XSS和SQL注入攻击中的攻击指令都是由黑客通过用户输入域注入，只不过XSS注入的是HTML代码（以后称脚本），而SQL注入注入的是SQL命令
• C、XSS和SQL注入攻击都利用了Web服务器没有对用户输入数据进行严格的检查和有效过滤的缺陷
• D、XSS攻击盗取Web终端用户的敏感数据，甚至控制用户终端操作，SQL注入攻击盗取Web后台数据库中的敏感数据，甚至控制整个数据库服务器

第16题：

在跨站请求伪造攻击中，攻击者伪装授权用户以访问授权网站。

第17题：

下列有关使用内部用户数据存取控制程序保护实时处理计算机系统的数据安全性的叙述中，哪项最为准确：（）

• A、数据的进入被特定应用程序控制在特定的文件中
• B、数据的进入被特定终端用户控制在特定的应用程序中
• C、安全性用来于对用户名的发放和用户身份的鉴定的控制措施
• D、使用这种存取控制软件将减少任何大的控制缺点

第18题：

防火墙可以完全防御的攻击行为是（）。

• A、XSS（跨站脚本）
• B、SQL注入
• C、剧毒包攻击
• D、内网嗅探

第19题：

典型跨站脚本漏洞的特征是用户收到的HTML代码中部分是由用户可控制的数据构成的。

第20题：

以下（）是数据库数据独立性表现出来的特点。

• A、数据的逻辑结构变化不影响应用程序
• B、数据的存储结构变化不影响应用程序
• C、多个用户可以同时使用数据
• D、数据可以长期保存

第21题：

第22题：

第23题：