2025年信息系统安全专家Web应用安全编码规范与实践专题试卷及解析.pdf

2025年信息系统安全专家WEB应用安全编码规范与实践专题试卷及解析1

2025年信息系统安全专家Web应用安全编码规范与实践

专题试卷及解析

2025年信息系统安全专家Web应用安全编码规范与实践专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在Web应用开发中，为了防止SQL注入攻击，以下哪种措施是最有效的？

A、限制用户输入长度

B、使用参数化查询

C、过滤特殊字符

D、隐藏错误信息

【答案】B

【解析】正确答案是B。参数化查询通过预编译SQL语句并将参数与SQL逻辑分

离，从根本上杜绝了SQL注入的可能性。A选项只能限制攻击载荷长度，不能防止注

入；C选项容易被绕过且维护困难；D选项只是隐藏了攻击痕迹，没有解决根本问题。

知识点：SQL注入防护原理。易错点：误认为字符过滤是万能解决方案。

2、OWASPTop102021中新增的漏洞类型是？

A、SQL注入

B、失效的访问控制

C、不安全的反序列化

D、服务器端请求伪造(SSRF)

【答案】D

【解析】正确答案是D。SSRF是2021版新增的漏洞类别，反映了近年来该漏洞的

普遍性和危害性上升。A、B、C都是历史遗留的高危漏洞。知识点：OWASPTop10

版本差异。易错点：混淆不同版本的更新内容。

3、在JWT(JSONWebToken)使用中，最安全的做法是？

A、使用强密钥的HS256算法

B、使用RS256非对称加密

C、不设置过期时间

D、在URL中传输token

【答案】B

【解析】正确答案是B。RS256使用公私钥对，私钥不泄露给客户端，安全性更高。

A选项的对称加密密钥可能泄露；C选项会导致token长期有效；D选项会暴露token

在浏览器历史中。知识点：JWT安全实践。易错点：忽视非对称加密的优势。

4、以下哪种HTTP头部设置能有效防止点击劫持？

A、XFrameOptions

2025年信息系统安全专家WEB应用安全编码规范与实践专题试卷及解析2

B、XXSSProtection

C、StrictTransportSecurity

D、ContentSecurityPolicy

【答案】A

【解析】正确答案是A。XFrameOptions专门用于控制页面是否可被嵌入iframe，是

防点击劫持的标准方案。B是XSS防护；C是HTTPS强制；D虽然也能防护但更复

杂。知识点：HTTP安全头功能。易错点：混淆不同安全头的用途。

5、在文件上传功能中，最需要验证的是？

A、文件扩展名

B、文件MIME类型

C、文件内容

D、以上全部

【答案】D

【解析】正确答案是D。完整的文件上传验证需要同时检查扩展名、MIME类型和

实际内容，单一验证方式都可能被绕过。知识点：文件上传安全验证。易错点：仅依赖

单一验证方式。

6、CORS跨域资源共享中，最严格的策略是？

A、AccessControlAllowOrigin:

B、动态返回请求的Origin

C、固定白名单域名

D、不设置CORS头

【答案】C

【解析】正确答案是C。固定白名单在安全性和功能性间取得最佳平衡。A过于宽

松；B可能被恶意利用；D可能导致功能异常。知识点：CORS安全配置。易错点：误

认为通配符是最佳实践。

7、在密码存储中，当前推荐的做法是？

A、MD5加密

B、SHA256哈希

C、bcrypt加盐哈希

D、明文存储

【答案】C

【解析】正确答案是C。bcrypt专为密码设计，内置盐值和可配置的计算成本。A、

B已被证明不安全；D是绝对禁止的。知识点：密码存储最佳实践。易错点：混淆加密

和哈希的区别。

8、以下哪种情况适合使用HTTPOnlyCookie？

202