随笔分类 - Web前端
前端开发相关文章
摘要:chrome浏览器图标复制一个,重新命名喜欢的名字 新图标右键=》属性 --user-data-dir="c:\ChromeDebug" --test-type --disable-web-security 如图在目标地址后面加上上面这段,注意中间需要加个空格。这样就完成了跨域浏览器设置。
阅读全文
摘要:检测获取fp、fcp、lcp、cls性能指标: window.monitor = { isWinLoad: false, observer: null, sessionValue: 0, sessionEntries: [], data: { fp: 0, fcp: 0, lcp: 0, cls:
阅读全文
摘要:一、JSSDK是什么 jssdk一般是指提供给第三方人员使用的一段js,通过这个js实现一些平台化产品提供的服务,比如微博jssdk、微信jssdk。 二、设计jssdk的几个核心问题 代码如何被使用页面接入 如何实现跨域通信 如何实现优雅api的设计 公共资源的使用 代码组件化 1、代码如何被使用
阅读全文
摘要:<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge"> <meta name="viewport" content="wi
阅读全文
摘要:冒泡排序: let arr = [2, 4, 1, 5, 8, 22, 10, 21, 15, 14, 12, 5, 6, 2] function sort(arr) { for (let i = arr.length - 1; i > 0; i--) { for (let j = 0; j < i
阅读全文
摘要:一、基础使用 1、变量、表达式、class style、子元素和组件 2、if else、三元表达式、逻辑运算符 && || 3、map、key 4、bind this 5、关于event参数,react的event不是原生的,event.nativeEvent才是指向原生event,所有的事件都是
阅读全文
摘要:webpack是开发工具,面试考点重点在配置和使用,原理理解不需要太深。 webpack 本质上是一个函数,它接受一个配置信息作为参数,执行后返回一个 compiler 对象,调用 compiler 对象中的 run 方法就会启动编译。run 方法接受一个回调,可以用来查看编译过程中的错误信息或编译
阅读全文
摘要:一、HTTP定义 超文本传输协议(HTTP)是一种通信协议,它允许将超文本标记语言(HTML)文档从Web服务器传送到客户端的浏览器。 HTTP是一个属于应用层的面向对象协议,由于其简捷、快速的方式,适用于分布式超媒体信息系统。它于1990年提出。 HTTP协议是构建再TCP/IP协议之上的,是TC
阅读全文
摘要:1、拒绝服务DOS 模拟正常用户,大量占用服务器资源,让正常用户无法正常访问 攻击形式:TCP半连接,HTTP连接,DNS 大规模分布式拒绝服务攻击DDOS 流量可达到即使到上百G 分布式(肉鸡、代理) 极难防御 DOS攻击防御:防火墙、交换机、路由器、流量清洗、高防IP 代码层面预防DOS攻击:
阅读全文
摘要:上传问题过程: 1、上传文件 2、再次访问上传文件 3、上传的文件被当成程序解析 上传问题的防御: 1、限制上传后缀 2、文件类型检查 3、文件内容检查 4、程序输出,将文件读取到内存中直接输出给用户,不能让用户直接访问文件,消耗服务器性能。 5、权限控制,可写可执行互斥
阅读全文
摘要:一、SQL注入 类似于XSS攻击,只不过输入的数据变成SQL程序执行的一部分。 SQL注入危害: 1、猜解密码 2、获取数据 3、删库删表 4、拖库 SQL注入的防御: 1、关闭错误输出 2、检查数据类型 3、对数据进行转义 4、使用参数化查询 5、使用ORM(对象关系映射),就是将数据库表映射到程
阅读全文
摘要:密码泄漏渠道: 1、数据库被偷 2、服务器被入侵 3、通讯被窃听 4、内部人员泄漏数据 5、其他网站(撞库) 防止泄漏方式: 1、存储上的措施: (1)严禁明文存储 (2)单向变换,不能解密反推出原密码 单向变化常用方式——哈希算法 哈希算法特征: 1.明文和密文意义对应 2.雪崩效应,一个字符不同
阅读全文
摘要:一、HTTP传输窃听 原理是http是明文传输,所以中间链路可以进行窃听和篡改。 linux和mac可以使用traceroute命令查看访问某网站中间链路经过的服务器 windows可以使用tracert命令来查看访问某网站中间链路经过的服务器 防御手段: 采用https协议,增加TLS(SSL)加
阅读全文
摘要:点击劫持特点: 用户亲自操作 用户不知情 实现原理: 利用iframe,在攻击网站让用户点击隐藏的iframe目标页面。 防御策略: 1、Javascript禁止内嵌,利用top对象和window对象判断是否被嵌套,然后页面进行跳转。 正常页面top对象和window对象是相等的 被iframe嵌入
阅读全文
摘要:一、Cookies特性 1、前端数据存储 2、后端通过http头设置 3、请求时通过http头传给后端 4、前端可读写 5、遵守同源策略 二、Cookies内容 1、域名 2、有效期,删除cookies是通过更改有效期来实现 3、路径,可以设置指定页面路径层级使用 4、http-only,只提供给h
阅读全文
摘要:CSRF:Cross Site Request Forgy(跨站请求伪造) 用户打开另外一个网站,可以对本网站进行操作或攻击。容易产生传播蠕虫。 CSRF攻击原理: 1、用户先登录A网站 2、A网站确认身份返回用户信息 3、B网站冒充用户信息而不是直接获取用户信息,从B网站页面向A网站发起请求(携带
阅读全文
摘要:XSS攻击:Cross Site Scripting(跨站脚本攻击) XSS攻击原理:程序+数据=结果,如果数据中包含了一部分程序,那么结果就会执行不属于站点的程序。 XSS攻击能干什么?能注入Script标签注入程序,那么所有JS能干的事情攻击者都能干,比如如下一些操作: 1、获取页面数据,偷取网
阅读全文
摘要:一、从输入URL到页面加载显示完成都发生了什么? 这个问题的根本:知识点广,区分度高。 回答思路:渲染过程是重点,其他自己擅长的点可以适当展开。 如何解答: 1、UI thread(UI线程)先判断输入的是搜索还是URL地址,如果是搜索则启用浏览器设置的默认搜索引擎进行搜索,如果是URL则开始URL
阅读全文
摘要:1、PND到 iconfont,然后再到SVG解决移动端图标。 2、使用Flexbox优化布局,相比传统table或浮动布局,性能会更高。 3、优化资源加载的顺序,使用preload,prefetch调整浏览器加载资源的优先级。 preload:提前加载较晚出现,但对当前页面非常重要的资源,优先级比
阅读全文
摘要:常见构建优化方案: 1、tree-shaking:上下文未用到的代码(dead code),基于ES6 import export 2、作用域提升:代码体积减小,提高执行效率 3、noparse、DllPlugin 4、code splitting代码拆分 5、持久化缓存方案:给每个打包资源文件增加
阅读全文
