以下关于DjangoCSRF的描述错误的是？（）A、Django项目中默认启用了CSRF保护，每次请求时通过CSRF中间件检查请求中是否有正确B、CSRF主要依靠站点服务端返回脚本，在客户端触发执行从而发起Web攻击C、对于需要CSRF保护的函数，我们一般使用csrf_exempt装饰器进行处理D、CSRF是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作

第1题：

第2题：

请求伪造攻击是指攻击者通过Web浏览器正常访问行为，劫持用户令牌并发出伪造的访问请求的攻击行为。

正确答案:正确

第3题：

关于Django开发安全，以下说法正确的是（）

• A、在生产环境下关闭DEBUG模式
• B、修改数据的表单开启CSRF保护
• C、返回给JavaScript使用的数据先进行JSON编码
• D、修改默认的AdminURL

正确答案:A,B,C,D

第4题：

在提交请求时要求（），确保了请求确实是用户提交的而不是CSRF攻击自动提交的。

• A、用户请求输入
• B、验证码
• C、请求检查
• D、反CSRF令牌

正确答案:B

第5题：

跨站请求伪造攻击防御主要有（）。

• A、验证码
• B、请求检查
• C、反CSRF令牌
• D、输出检查
• E、端口开放

正确答案:A,B,C

第6题：

下列哪个漏洞不是由于未对输入做过滤造成的（）

• A、DOS攻击
• B、SQL注入
• C、XSS攻击
• D、CSRF攻击

正确答案:A

第7题：

以下哪些方法，可以有效防御CSRF带来的威胁（）

• A、使用图片验证码
• B、要求所有POST请求都包含一个伪随机值
• C、只允许GET请求检索数据，但是不允许它修改服务器上的任何数
• D、使用多重验证，例如手机验证码

正确答案:A,B,C,D

第8题：

下面哪些是常见的Web攻击技术：（）

• A、DoS和DDoS攻击
• B、CSRF（CrossSiteRequestForgery）
• C、SQL注入（SQLInjection）
• D、DOMBasedXSS

正确答案:A,B,C,D

第9题：

简述CSRF的防御。

正确答案: 1.服务端的CSRF方式方法很多样，但总的思想都是一致的，就是在客户端页面增加伪随机数。
2.使用验证码

第10题：

第11题：

第12题：

第13题：

以下选项中，哪一类技术不常用在网站的攻击上（）？

• A、SQL注入
• B、跨站脚本攻击
• C、非法上传
• D、目录泄漏
• E、缓冲区溢出
• F、CSRF反射攻击

正确答案:E

第14题：

蓝鲸SaaS开发框架包含哪些Web防护策略？（）

• A、防CSRF攻击
• B、防XSS攻击
• C、防SQL注入
• D、没有Web安全防护

正确答案:A,B,C

第15题：

蓝鲸开发框架集成了哪些Web安全防护策略？（）

• A、XSS攻击（跨站脚本攻击）
• B、CSRF攻击（跨站请求伪造攻击）
• C、SQL注入

正确答案:A,B,C

第16题：

下面不属于跨站请求伪造攻击防御的是（）。

• A、验证码
• B、请求检查
• C、反CSRF令牌
• D、输出检查

正确答案:D

第17题：

（）指HTTP请求的发起者，在HTTP中该字段指明该请求是由哪个源（可简单理解为哪个网站）发起

• A、请求
• B、验证码
• C、输入检查
• D、反CSRF令牌

正确答案:A

第18题：

CSRF攻击能够成功是因为同一浏览器发起的请求对于服务器来讲都是被授权的，如果在请求中加入只有浏览器中该源的网页可以获取的信息，服务器对其验证，就排除了浏览器中其他源的网页伪造请求的可能。

正确答案:正确

第19题：

黑客在A网站上提交了一条评论，所有在A网站看到这条评论的人，都收到了一个中奖弹窗。有人点击这个中奖弹窗的按钮后，发现他的B网站资产被盗了。请问这其中可能利用了哪些漏洞？（）

• A、A网站的XSS漏洞
• B、B网站的XSS漏洞
• C、A网站的CSRF漏洞
• D、B网站的CSRF漏洞

正确答案:A,D

第20题：

XSS与CSRF有什么区别吗？

正确答案: XSS是获取信息，不需要提前知道其他用户页面的代码和数据包。CSRF是代替用户完成指定的动作，需要知道其他用户页面的代码和数据包。
要完成一次CSRF攻击，受害者必须依次完成两个步骤：
1.登录受信任网站A，并在本地生成Cookie。
2.在不登出A的情况下，访问危险网站B。

第21题：

第22题：

第23题：