JavaScript Security - Practice Questions 2026

أهلا بك عزيزي المتابع لموقع (journey for learn) نقدم دورات بكوبونات متاحة لاول 1000 تسجيل مجاني فقط وكوبونات اخري لفترة محدودة فاذا كنت تريد ان تحصل علي كل الكورسات علي موقعنا وان تكون اول المسجلين في الكورسات المجانية قم بتسجيل الدخول أوقم بالدخول علي وسائل التواصل الاجتماعي وخصوصا التليجرام نوضح الوصف المختصر والطويل للدورات لكي تعرف الدروس التي سوف تتعلمها بسهولة ويسر :

أمان JavaScript الرئيسي: اختبارات التدريب على XSS وCSRF وCSP مرحبًا بك في المورد النهائي لإتقان الدفاعات ونقاط الضعف في أمان الويب. إذا كنت تتطلع إلى ترسيخ فهمك للبرمجة عبر المواقع (XSS)، وتزوير الطلبات عبر المواقع (CSRF)، وسياسة أمان المحتوى (CSP)، فإن هذه الاختبارات التدريبية توفر البيئة الأكثر شمولاً لاختبار مهاراتك والتأكد من أن تطبيقاتك تظل غير قابلة للاختراق. لماذا يختار المتعلمون الجادون هذه الاختبارات التدريبية في المشهد سريع التطور لتطوير الويب، لم تعد المعرفة النظرية بالأمن كافية. يختار المتعلمون الجادون هذه الدورة لأنها تسد الفجوة بين قراءة المواصفات وتطبيق تلك المعرفة تحت الضغط. تم تصميم هذه الاختبارات لتقليد عمليات التدقيق الأمني ​​وبيئات الاعتماد في العالم الحقيقي، مما يوفر تعمقًا في كيفية تفكير المهاجمين وكيفية بناء المدافعين لأنظمة مرنة. من خلال التعامل مع أسئلة أصلية عالية الجودة، فإنك تنتقل من مطور "يعرف" الأمان إلى محترف يمكنه تنفيذه. هيكل الدورة يتم تنظيم هذه الدورة بدقة إلى ستة مستويات متميزة لضمان التقدم المنطقي للصعوبة والعمق المفاهيمي:

• الأساسيات / الأسس: يركز هذا القسم على المبادئ الأساسية لسياسة المصدر نفسه (SOP)، ونموذج كائن المستند (DOM)، وتدفق التنفيذ الأساسي لجافا سكريبت. يعد فهم "قواعد الطريق" هذه أمرًا ضروريًا قبل الغوص في نقاط الضعف المحددة.
• المفاهيم الأساسية: هنا، نقوم بتحليل الآليات الأساسية لـ XSS وCSRF. سوف تتعلم كيفية التعرف على الاختلافات بين XSS المنعكس والمخزن والمستند إلى DOM، بالإضافة إلى المتطلبات الأساسية التي تجعل هجوم CSRF ممكنًا.
• المفاهيم المتوسطة: يقدم هذا المستوى آليات دفاعية. نحن نستكشف كيفية تنفيذ توجيهات سياسة أمان المحتوى (CSP) بشكل صحيح، وسمات ملفات تعريف الارتباط الآمنة (HttpOnly، وSecure، وSameSite)، والفروق الدقيقة في التحقق من صحة الإدخال مقابل تشفير الإخراج.
• مفاهيم متقدمة: تحدى نفسك باستخدام تقنيات التجاوز المعقدة. يغطي هذا القسم تجاوزات CSP باستخدام شبكات CDN المدرجة في القائمة البيضاء، وحمولات متعددة اللغات، وسيناريوهات CSRF المتطورة التي تتضمن إجراءات متعددة الخطوات أو طلبات قائمة على JSON.
• سيناريوهات العالم الحقيقي: تجاوز مقتطفات التعليمات البرمجية المعزولة. تمثل هذه الأسئلة تحديات معمارية وعمليات تنفيذ "معطلة" استنادًا إلى نقاط الضعف التاريخية الفعلية الموجودة في أطر عمل الويب الحديثة وواجهات برمجة التطبيقات.
• المراجعة المختلطة / الاختبار النهائي: المعيار النهائي. يستمد هذا الاختبار الشامل من جميع الأقسام السابقة، مما يجبرك على تبديل السياقات بسرعة وإثبات استعدادك لتقييمات الأمان الاحترافية.

نموذج أسئلة الممارسة السؤال 1A يريد المطور منع هجوم تزوير الطلبات عبر المواقع (CSRF) على إجراء POST حساس. أي من الأساليب التالية يعتبر أقوى دفاع عند استخدامه بشكل صحيح؟

• الخيار 1: التحقق من رأس المُحيل للتأكد من أن الطلب نشأ من نفس المجال.
• الخيار 2: تنفيذ رمز مزامن فريد وقوي التشفير (رمز مميز مضاد لـ CSRF) تم تعيينه لجلسة المستخدم.
• الخيار 3: استخدام طريقة HTTP GET بدلاً من POST لجميع عمليات تغيير الحالة الحساسة العمليات.
• الخيار 4: الاعتماد فقط على علامة HttpOnly في ملفات تعريف الارتباط للجلسة.
• الخيار 5: تقييد خادم الويب لقبول الطلبات من عناوين IP محددة فقط.

الإجابة الصحيحة: الخيار 2 شرح الإجابة الصحيحة: نمط رمز المزامن هو المعيار الصناعي للدفاع عن CSRF. نظرًا لأن المهاجم يمكنه إجبار متصفح الضحية على إرسال طلب، ولكن لا يمكنه قراءة الاستجابة (بسبب SOP) أو التنبؤ برمز مميز مخفي فريد، فلا يمكنه تضمين الرمز الصالح المطلوب في طلبه الضار. شرح الإجابات الخاطئة:

• الخيار 1: يمكن تجريد رؤوس الإحالة بواسطة برامج الخصوصية أو الوكلاء أو المتصفحات الأقدم، مما يجعل هذا التحقق غير موثوق به كدفاع أساسي.
• الخيار 3: استخدام يعد GET لعمليات تغيير الحالة ثغرة أمنية كبيرة؛ فهو يجعل CSRF أسهل ويكشف البيانات الحساسة في سجل المتصفح والسجلات.
• الخيار 4: تمنع علامة HttpOnly XSS من سرقة ملف تعريف الارتباط عبر JavaScript، ولكنها لا تفعل شيئًا لإيقاف CSRF، حيث يقوم المتصفح تلقائيًا بتضمين ملف تعريف الارتباط في الطلب المزيف.
• الخيار 5: تقييد IP غير عملي لتطبيقات الويب العامة حيث يصل المستخدمون إلى الموقع من خلال تدوير عناوين IP أو مشاركتها.

السؤال 2 ما هو أمان المحتوى تم تصميم توجيه السياسة (CSP) خصيصًا لتقييد المكان الذي يمكن أن يرسل فيه النموذج بياناته، وبالتالي التخفيف من أنواع معينة من استخراج البيانات ومعالجة واجهة المستخدم؟

• الخيار 1: script-src
• الخيار 2: Connect-src
• الخيار 3: إجراء النموذج
• الخيار 4: أسلاف الإطار
• الخيار 5: default-src

صحيح الإجابة: الخيار 3 شرح الإجابة الصحيحة: يقيد توجيه إجراء النموذج عناوين URL التي يمكن استخدامها كهدف لإرسال النموذج من سياق معين. يمنع هذا مهاجمًا من إدخال نموذج ضار يرسل مدخلات المستخدم إلى خادمه الخاص. توضيح الإجابات الخاطئة:

• الخيار 1: يحدد script-src مصادر صالحة لـ JavaScript، ولكنه لا يتحكم في أهداف إرسال النموذج.
• الخيار 2: يقيد Connect-src عناوين URL التي يمكن تحميلها باستخدام واجهات البرامج النصية مثل Fetch أو XHR، لكنه لا يحكم إجراءات نموذج HTML القياسية.
• الخيار 4: تحدد أسلاف الإطارات أصولًا صالحة قد تقوم بتضمين صفحة، وتستخدم بشكل أساسي لمنع Clickjacking.
• الخيار 5: يعد default-src بديلًا لتوجيهات أخرى، لكن إجراء النموذج لا يتراجع إلى default-src في العديد من تطبيقات CSP، مما يتطلب تعريفًا صريحًا.

السؤال 3 في سياق XSS المستند إلى DOM، أي من خصائص JavaScript التالية تعتبر "مصب" يمكن أن يؤدي إلى تنفيذ البرنامج النصي إذا تم تخصيص البيانات التي يتحكم فيها المستخدم إليها؟

• الخيار 1: الموقع. href
• الخيار 2: النص الداخلي
• الخيار 3: محتوى النص
• الخيار 4: وحدة التحكم. سجل
• الخيار 5: الوثيقة. getElementById

الإجابة الصحيحة: الخيار 1 شرح الإجابة الصحيحة: الموقع. يعد href بمثابة مصدر تنفيذ لأن تعيين JavaScript: URI له سيؤدي إلى قيام المتصفح بتنفيذ التعليمات البرمجية. على سبيل المثال، الموقع. يؤدي href = "javascript:alert(1)" إلى ثغرة أمنية في XSS. شرح الإجابات الخاطئة:

• الخيار 2: يتعامل InternalText مع الإدخال كنص خام ولا يقوم بتحليل HTML، مما يجعله طريقة آمنة للتعامل مع إدخال المستخدم.
• الخيار 3: textContent مشابه لـInnerText؛ فهو بمثابة طريقة آمنة لإدراج نص دون تشغيل محلل HTML.
• الخيار 4: وحدة التحكم. يقوم السجل ببساطة بطباعة البيانات إلى وحدة تحكم المطور؛ على الرغم من أنه قد يكشف عن بيانات، إلا أنه لا ينفذ البرامج النصية في سياق الصفحة.
• الخيار 5: المستند. getElementById هو محدد يستخدم للعثور على العناصر؛ إنه ليس حوضًا تتم فيه معالجة البيانات أو تنفيذها.

ابدأ رحلتك اليوم مرحبًا بك في اختبارات أفضل الممارسات لمساعدتك في الاستعداد لأمان JavaScript (XSS، CSRF، CSP) - أسئلة التدريب.

• يمكنك إعادة إجراء الاختبارات عدة مرات لتحقيق إتقان بنسبة 100%.
• هذا بنك أسئلة أصلي ضخم برعاية خبراء الأمان.
• يمكنك الحصول على الدعم من المدرسين إذا كنت لديك أسئلة تتعلق بحالات منطقية أو حالات حافة معينة.
• يحتوي كل سؤال على شرح تفصيلي لضمان التعلم من أخطائك.
• متوافق تمامًا مع الهاتف المحمول مع تطبيق Udemy للتعلم أثناء التنقل.
• ضمان استرداد الأموال لمدة 30 يومًا إذا لم تكن راضيًا عن جودة المحتوى.

نأمل أن تكون مقتنعًا الآن! هناك المئات من الأسئلة الأخرى في انتظارك داخل الدورة.

ما هي المتطلبات الأساسية لدخول الدورة والتسجيل فيها على موقعنا؟ رحلة التعلم:

(احصل على الدورة للدخول إلى الموقع والتسجيل)

يجب أن يكون لديك بريد إلكتروني (حساب بريد) تتذكره لنفسك وأيضًا يجب أن تتذكر كلمة مرور البريد الإلكتروني الذي ستسجل به ، وإذا لم يكن لديك حساب بريد إلكتروني ، فمن الأفضل إنشاء حساب (Gmail)