2025年信息系统安全专家API接口访问控制安全基线配置专题试卷及解析.pdfVIP

2025年信息系统安全专家API接口访问控制安全基线配置专题试卷及解析1

2025年信息系统安全专家API接口访问控制安全基线配

置专题试卷及解析

2025年信息系统安全专家API接口访问控制安全基线配置专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在API接口访问控制中，以下哪种认证方式被认为是最安全的选择？

A、Basic认证

B、BearerToken认证

C、OAuth2.0授权码模式

D、APIKey认证

【答案】C

【解析】正确答案是C。OAuth2.0授权码模式是目前业界公认的最安全的API认

证方式，因为它通过多重验证和令牌交换机制有效防止令牌泄露。Basic认证（A）以明

文传输凭证极不安全；BearerToken（B）虽然常用但存在令牌劫持风险；APIKey（D）

缺乏细粒度权限控制。知识点：API认证机制安全等级。易错点：误认为BearerToken

比OAuth更安全。

2、配置API安全基线时，以下哪项不属于必须设置的HTTP响应头？

A、XContentTypeOptions

B、StrictTransportSecurity

C、XPoweredBy

D、ContentSecurityPolicy

【答案】C

【解析】正确答案是C。XPoweredBy是信息泄露头而非安全必需头，基线配置应移

除而非设置。其他选项都是OWASP推荐的安全响应头：A防止MIME嗅探，B强制

HTTPS，D防范XSS。知识点：HTTP安全响应头配置。易错点：混淆信息泄露头与

安全防护头。

3、在API限流配置中，令牌桶算法相比固定窗口算法的主要优势是？

A、实现更简单

B、支持突发流量

C、内存占用更少

D、配置更直观

【答案】B

【解析】正确答案是B。令牌桶算法通过动态补充令牌机制能自然处理突发流量，这

是其核心优势。固定窗口算法（A错误）实现更简单但不灵活；C和D不是主要差异

点。知识点：API限流算法特性。易错点：误将实现复杂度视为优势。

2025年信息系统安全专家API接口访问控制安全基线配置专题试卷及解析2

4、以下哪个场景最适合使用IP白名单作为主要访问控制手段？

A、面向公众的移动应用API

B、内部微服务间通信

C、第三方开放平台API

D、Web前端调用的API

【答案】B

【解析】正确答案是B。IP白名单适用于可控网络环境，内部微服务通信IP固定

且可信。其他场景都涉及不可控客户端，A和D面向公网用户，C需开放给第三方，都

不适合IP白名单。知识点：访问控制策略选择。易错点：忽视网络环境可控性。

5、在API安全基线中，以下哪种做法违反了最小权限原则？

A、为不同客户端分配不同权限

B、使用通配符(*)开放所有资源

C、定期审计API权限配置

D、按需授予HTTP方法权限

【答案】B

【解析】正确答案是B。通配符开放所有资源明显违反最小权限原则。A、C、D都

是最小权限的正确实践。知识点：最小权限原则应用。易错点：误认为通配符配置更高

效。

6、配置API日志审计时，以下哪项信息不应被记录？

A、请求时间戳

B、用户凭证明文

C、响应状态码

D、客户端IP地址

【答案】B

【解析】正确答案是B。记录用户凭证明文会带来严重安全风险，应记录凭证哈希

或令牌ID。其他都是审计必需的基础信息。知识点：安全日志记录规范。易错点：忽

视敏感信息保护。

7、在API版本控制中，以下哪种方式最符合安全基线要求？

A、URL路径版本控制(/v1/resource)

B、查询参数版本控制(?v=1)

C、HTTP头版本控制

D、不进行版本控制

【答案】A

【解析】正确答案是A。URL路径版本控制最