1、防止SQL注入有哪两种方式？

使用参数化查询（优先）

对不可信数据进行校验

2、XSS注入分类？

反射型XSS注入

存储型XSS注入

DOM型XSS注入

3、XSS和CSRF的区别？

XSS 利用的是用户对指定网站的信任，CSRF 利用的是网站对用户网页浏览器的信任。

4、XXE注入方式？

基础的XXE注入

基于盲注的XXE注入

基于错误的XXE注入

5、XML由哪3个部分组成？

文档类型定义（Document Type Definition，DTD）

可扩展的样式语言（Extensible Style Language，XSL）

可扩展链接语言（Extensible Link Language，XLL）。

6、如何防范SSRF？

1）因为SSRF最大的风险是信息泄露探知内网的信息，因此针对SSRF存在如下几种修复方法：

2）禁用不需要的协议。仅仅允许http和https请求。（Rest服务接口）

3）限制请求的端口为http常用的端口。比如，80,443,8080,8090。

4）过滤返回信息。验证远程服务器对请求的响应是比较容易的方法。如果web应用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回的信息是否符合标准。

5）统一错误信息。避免用户可以根据错误信息来判断远端服务器的端口状态。

6）对DNS重绑定，考虑使用DNS缓存或者Host白名单

7、加密系统的保密性由什么决定？

取决于对密钥的保密

8、密码算法分为哪两种？

对称密码算法

非对称密码算法

9、对称加密算法分为哪两种？

流加密算法

分组加密算法

10、加密的过程？