知识点标签

安全面试题解析

安全相关面试题解析,按真实面经题目沉淀核心机制、易错点和面试官追问。

32 道题 8 个岗位 9 个公司

安全相关面试题

HTTPS 为什么结合使用对称加密和非对称加密?

HTTPS 同时使用非对称加密和对称加密,是为了兼顾安全密钥交换、身份认证和传输性能。非对称加密适合解决陌生双方如何安全协商密钥和验证服务器身份的问题,但计算成本高;对称加密速度快,适合保护大量业务数据,因此握手阶段协商会话密钥,传输阶段用对称密钥加密数据。

Objective-C和Swift对比,安全性体现在什么方面?

Swift相对Objective-C的安全性,核心不是“更防黑客”,而是语言层面对类型、空值、内存、可变状态、错误处理和并发访问施加了更多编译期约束,把一部分Objective-C中常见的运行时崩溃、野指针、nil误用、类型误判和共享状态问题提前暴露。但Swift并不是绝对安全:强制解包、隐式解包、Any、unsafe pointer、Objective-C桥接、@objc动态派发和不当并发仍然会把风险带回来。

什么是线程安全?

线程安全指一段代码、对象或组件在多个线程同时访问时,仍然能够保持预期的正确性,不因为执行时序交错而产生脏数据、丢失更新、状态破坏或偶发异常。判断线程安全不能只看单次调用是否正确,而要看共享可变状态在并发读写下是否满足原子性、可见性和有序性,并通过不可变、线程封闭、同步、原子类或并发容器等手段建立可靠的并发语义。

单例模式如何实现,如何保证线程安全?

单例模式的核心目标是让一个类在进程内只暴露一个可访问实例,并控制实例创建时机。回答时应从构造器私有化、全局访问点、线程安全发布、延迟加载、反射和序列化破坏边界几个维度展开。常见实现包括饿汉式、同步懒汉式、双重检查锁、静态内部类和枚举单例,其中推荐优先说明静态内部类和枚举单例,再解释为什么双重检查锁必须配合 volatile。

跨域请求需要携带 Cookie 时,前端该怎么设置?

前端请求不一定必须携带 Cookie。是否携带取决于业务是否依赖 Cookie 做登录态、会话、灰度、风控等状态识别,以及浏览器、前端请求配置、Cookie 属性和服务端 CORS 配置是否同时满足条件。跨域场景下,前端单独设置不够,必须前后端配合:前端开启 credentials,服务端允许带凭证,并返回精确的 Access-Control-Allow-Origin 和 Access-Control-Allow-Credentials。

https加密过程?

https加密过程?这道腾讯牛客题的关键是围绕“HTTP、HTTPS 与 TLS 安全链路”讲清概念、机制、取舍和边界。HTTP 是明文应用层协议,HTTPS 是 HTTP 运行在 TLS 之上。TLS 通过证书链验证服务器身份,通过密钥交换协商会话密钥,后续数据主要用对称加密传输,同时用完整性校验防止篡改。

为什么HTTPS是安全的?

为什么HTTPS是安全的?这道腾讯牛客题的关键是围绕“HTTP、HTTPS 与 TLS 安全链路”讲清概念、机制、取舍和边界。HTTP 是明文应用层协议,HTTPS 是 HTTP 运行在 TLS 之上。TLS 通过证书链验证服务器身份,通过密钥交换协商会话密钥,后续数据主要用对称加密传输,同时用完整性校验防止篡改。

HTTPS工作原理?

HTTPS工作原理?这道腾讯牛客题的关键是围绕“HTTP、HTTPS 与 TLS 安全链路”讲清概念、机制、取舍和边界。HTTP 是明文应用层协议,HTTPS 是 HTTP 运行在 TLS 之上。TLS 通过证书链验证服务器身份,通过密钥交换协商会话密钥,后续数据主要用对称加密传输,同时用完整性校验防止篡改。

https原理,如何解决中间人攻击?

https原理,如何解决中间人攻击?这道腾讯牛客题的关键是围绕“HTTP、HTTPS 与 TLS 安全链路”讲清概念、机制、取舍和边界。HTTP 是明文应用层协议,HTTPS 是 HTTP 运行在 TLS 之上。TLS 通过证书链验证服务器身份,通过密钥交换协商会话密钥,后续数据主要用对称加密传输,同时用完整性校验防止篡改。

Http与Https的区别,Https是如何保证数据安全的?

Http与Https的区别,Https是如何保证数据安全的?这道腾讯牛客题的关键是围绕“HTTP、HTTPS 与 TLS 安全链路”讲清概念、机制、取舍和边界。HTTP 是明文应用层协议,HTTPS 是 HTTP 运行在 TLS 之上。TLS 通过证书链验证服务器身份,通过密钥交换协商会话密钥,后续数据主要用对称加密传输,同时用完整性校验防止篡改。

HTTP 和 HTTPS 有什么区别,HTTPS 的公钥存放在哪里?

HTTP 和 HTTPS 有什么区别,HTTPS 的公钥存放在哪里?这道腾讯牛客题的关键是围绕“HTTP 与 HTTPS 区别及公钥来源”讲清概念、机制、取舍和边界。HTTP 是明文应用层协议,没有内建加密、完整性校验和服务器身份认证;HTTPS 是 HTTP over TLS,通过 TLS 提供加密传输、完整性保护和服务器身份认证。HTTPS 的服务器公钥放在服务器证书里,客户端用本地信任的 CA 根证书链验证证书可信。

内容安全类 Agent 需求如何从“万能问答”拆成可评测的原子能力、输入输出契约和停止条件?

这题考的是把模糊的内容安全 Agent 需求工程化。不能把它做成什么都能问、什么都回答的聊天助手,而要拆成可独立评测的能力单元,例如分类、证据抽取、规则匹配、风险解释、处置建议和人工复核触发,并为每个能力定义输入、输出、置信度和停止条件。

AI 技术会如何影响风控产品岗位,如何平衡识别能力、误杀率和业务体验?

AI 对风控产品岗位的影响,核心是让风险识别从规则驱动升级为规则、模型、图谱、内容理解和实时策略协同。但风控产品不能只追求识别率,还要平衡误杀率、审核成本、用户体验和业务转化。回答应围绕风控产品的策略闭环:风险定义、特征与模型、策略分层、处置梯度、申诉反馈、指标监控和灰度迭代。

大模型反欺诈项目从开发、测试到部署应如何设计流程,Agent 框架选型需要关注哪些工程约束?

这题考大模型反欺诈项目的端到端工程化能力,不是只问“用了哪个 Agent 框架”。高质量回答要从业务边界、数据合规、Agent 工具链、离线评测、测试门禁、灰度部署、监控回流和框架选型约束讲清楚,体现反欺诈场景对准确性、可解释性、安全和稳定性的要求。

AI 在金融行业有哪些典型落地场景,产品经理应如何评估价值、风险和合规边界?

这题考的不是罗列几个 AI 金融应用名词,而是产品经理能否按金融业务链路识别 AI 的适用场景,并同时回答价值、风险、合规和上线验证。高质量回答要把场景分层,例如客户交互、营销与经营、风控反欺诈、运营自动化、合规审查和内部员工助手;再说明不同场景的收益指标、模型指标、用户体验指标、风险指标和合规边界。金融场景的关键不是“能不能自动化”,而是哪些环节允许自动决策,哪些只能辅助人工,哪些必须留痕、可解释、可申诉、可回滚。