瀏覽器安全：CSP、CORS、XSS、CSRF 四題串一線

資深前端面試一定考瀏覽器安全。XSS 是注入、CSRF 是冒用、CORS 是跨域、CSP 是內容白名單；四個概念解的是四種不同攻擊面但常被混講。四題的攻擊模型、防禦機制、決策邊界串成一條線。內部使用。

#security#xss#csrf#cors#csp#same-origin#samesite#interview-prep#面試系列#private

問「XSS 跟 CSRF 差在哪」、「CORS 是不是 security feature」、「CSP 怎麼設」——這三題在問同一件事：你懂不懂瀏覽器安全模型四個獨立的概念。資深前端的標準答案不是「我用過 helmet」而是「XSS 是注入、CSRF 是冒用、CORS 是跨域協商、CSP 是內容白名單」。這篇把四題串成一條線。