安全与稳定性高频题清单与追问树

高频题清单

题型：治理型
考察点：认证方案设计不能只问“Token 存哪里”，还要看凭证如何发送、如何失效和如何被滥用
易混点：题型没分清时，很容易把攻击边界、运行时隔离、稳定性闭环混成一个层级。
串讲顺序：先回答核心问题，再补边界、代价和项目映射。

2. CSP 与沙箱：前端脚本执行边界如何收紧

题型：治理型
考察点：CSP 不是修复 XSS 的替代品，但它能显著压缩脚本注入成功后的执行面
易混点：题型没分清时，很容易把攻击边界、运行时隔离、稳定性闭环混成一个层级。
串讲顺序：先回答核心问题，再补边界、代价和项目映射。

3. 前端稳定性：错误边界、降级、超时与恢复策略

题型：治理型
考察点：稳定性不是“别报错”，而是错误发生后页面还能否保持可用、可恢复、可观测
易混点：题型没分清时，很容易把攻击边界、运行时隔离、稳定性闭环混成一个层级。
串讲顺序：先回答核心问题，再补边界、代价和项目映射。

4. 输入校验：前端边界上的 schema、类型与信任问题

题型：治理型
考察点：前端校验不是为了替代后端校验，而是为了更早发现错误并减少无意义请求
易混点：题型没分清时，很容易把攻击边界、运行时隔离、稳定性闭环混成一个层级。
串讲顺序：先回答核心问题，再补边界、代价和项目映射。

5. 发布与回滚：前端版本管理、灰度与资源一致性

题型：治理型
考察点：前端发布不是把静态文件上传完就结束，资源一致性和回滚路径才是真正的风险点
易混点：题型没分清时，很容易把攻击边界、运行时隔离、稳定性闭环混成一个层级。
串讲顺序：先回答核心问题，再补边界、代价和项目映射。

6. XSS 与 CSRF：脚本注入和跨站请求伪造的边界

题型：治理型
考察点：这两个攻击常被并列提及，但一个针对页面执行上下文，一个针对用户身份上下文
易混点：题型没分清时，很容易把攻击边界、运行时隔离、稳定性闭环混成一个层级。
串讲顺序：先回答核心问题，再补边界、代价和项目映射。

每题考察点

安全与稳定性模块的高频题，通常不是单点记忆，而是在看你能否把攻击边界、运行时隔离、稳定性闭环连起来讲
同一题连续被深挖时，往往是在验证你是不是只会背第一层结论
真正稳定的回答，必须包含边界、代价和实际落地

易混点与串讲顺序

先分题型，再定讲法，不要所有题都用同一套口径
对比型题先拆对象，机制型题先讲参与者和流程，治理型题先讲症状和闭环
一开口就急着给结论，通常说明上下文还没搭起来

模拟追问树

第一层通常会追到攻击边界
第二层会继续追到运行时隔离的内部细节
第三层往往回到稳定性闭环、项目经验和权衡依据

使用建议

优先挑 3 到 5 个最高频问题练成稳定串讲，再逐步扩充
复习时把同题型问题放在一起，会比按目录顺序硬刷更有效
项目面准备时，先看本页，再回到对应单篇文档准备项目映射

相关主题

安全与稳定性模块学习地图