01 2022 档案
摘要:一、HTTP定义 超文本传输协议(HTTP)是一种通信协议,它允许将超文本标记语言(HTML)文档从Web服务器传送到客户端的浏览器。 HTTP是一个属于应用层的面向对象协议,由于其简捷、快速的方式,适用于分布式超媒体信息系统。它于1990年提出。 HTTP协议是构建再TCP/IP协议之上的,是TC
阅读全文
摘要:1、拒绝服务DOS 模拟正常用户,大量占用服务器资源,让正常用户无法正常访问 攻击形式:TCP半连接,HTTP连接,DNS 大规模分布式拒绝服务攻击DDOS 流量可达到即使到上百G 分布式(肉鸡、代理) 极难防御 DOS攻击防御:防火墙、交换机、路由器、流量清洗、高防IP 代码层面预防DOS攻击:
阅读全文
摘要:上传问题过程: 1、上传文件 2、再次访问上传文件 3、上传的文件被当成程序解析 上传问题的防御: 1、限制上传后缀 2、文件类型检查 3、文件内容检查 4、程序输出,将文件读取到内存中直接输出给用户,不能让用户直接访问文件,消耗服务器性能。 5、权限控制,可写可执行互斥
阅读全文
摘要:一、SQL注入 类似于XSS攻击,只不过输入的数据变成SQL程序执行的一部分。 SQL注入危害: 1、猜解密码 2、获取数据 3、删库删表 4、拖库 SQL注入的防御: 1、关闭错误输出 2、检查数据类型 3、对数据进行转义 4、使用参数化查询 5、使用ORM(对象关系映射),就是将数据库表映射到程
阅读全文
摘要:密码泄漏渠道: 1、数据库被偷 2、服务器被入侵 3、通讯被窃听 4、内部人员泄漏数据 5、其他网站(撞库) 防止泄漏方式: 1、存储上的措施: (1)严禁明文存储 (2)单向变换,不能解密反推出原密码 单向变化常用方式——哈希算法 哈希算法特征: 1.明文和密文意义对应 2.雪崩效应,一个字符不同
阅读全文
摘要:一、HTTP传输窃听 原理是http是明文传输,所以中间链路可以进行窃听和篡改。 linux和mac可以使用traceroute命令查看访问某网站中间链路经过的服务器 windows可以使用tracert命令来查看访问某网站中间链路经过的服务器 防御手段: 采用https协议,增加TLS(SSL)加
阅读全文
摘要:点击劫持特点: 用户亲自操作 用户不知情 实现原理: 利用iframe,在攻击网站让用户点击隐藏的iframe目标页面。 防御策略: 1、Javascript禁止内嵌,利用top对象和window对象判断是否被嵌套,然后页面进行跳转。 正常页面top对象和window对象是相等的 被iframe嵌入
阅读全文
摘要:一、Cookies特性 1、前端数据存储 2、后端通过http头设置 3、请求时通过http头传给后端 4、前端可读写 5、遵守同源策略 二、Cookies内容 1、域名 2、有效期,删除cookies是通过更改有效期来实现 3、路径,可以设置指定页面路径层级使用 4、http-only,只提供给h
阅读全文
摘要:CSRF:Cross Site Request Forgy(跨站请求伪造) 用户打开另外一个网站,可以对本网站进行操作或攻击。容易产生传播蠕虫。 CSRF攻击原理: 1、用户先登录A网站 2、A网站确认身份返回用户信息 3、B网站冒充用户信息而不是直接获取用户信息,从B网站页面向A网站发起请求(携带
阅读全文
摘要:XSS攻击:Cross Site Scripting(跨站脚本攻击) XSS攻击原理:程序+数据=结果,如果数据中包含了一部分程序,那么结果就会执行不属于站点的程序。 XSS攻击能干什么?能注入Script标签注入程序,那么所有JS能干的事情攻击者都能干,比如如下一些操作: 1、获取页面数据,偷取网
阅读全文
摘要:一、从输入URL到页面加载显示完成都发生了什么? 这个问题的根本:知识点广,区分度高。 回答思路:渲染过程是重点,其他自己擅长的点可以适当展开。 如何解答: 1、UI thread(UI线程)先判断输入的是搜索还是URL地址,如果是搜索则启用浏览器设置的默认搜索引擎进行搜索,如果是URL则开始URL
阅读全文
摘要:1、PND到 iconfont,然后再到SVG解决移动端图标。 2、使用Flexbox优化布局,相比传统table或浮动布局,性能会更高。 3、优化资源加载的顺序,使用preload,prefetch调整浏览器加载资源的优先级。 preload:提前加载较晚出现,但对当前页面非常重要的资源,优先级比
阅读全文
摘要:常见构建优化方案: 1、tree-shaking:上下文未用到的代码(dead code),基于ES6 import export 2、作用域提升:代码体积减小,提高执行效率 3、noparse、DllPlugin 4、code splitting代码拆分 5、持久化缓存方案:给每个打包资源文件增加
阅读全文
摘要:资源优化方向压缩和合并,目的是减少http请求数量、减少请求资源大小。 css、JS文件合并原则: 1、若干小文件可以尝试合并 2、无冲突,服务相同模块 3、不是为了优化合并而合并,按需合并,让用户更早看到和使用功能为主。 图片优化方案: 1、选择合适格式的图片,了解jpg、png、svg、webp
阅读全文
摘要:JS的开销在哪里:加载、解析编译、执行 下图是谷歌演讲展示JS和图片之间的性能对比,相同大小的文件JS开销明显要比图片大的多: 加载优化方案: 1、Code splitting 代码拆分,按需加载 2、Tree shaking 代码减重 3、代码压缩 解析编译执行优化方案,主要是减少主线程工作量:
阅读全文
摘要:一、现代浏览器网页渲染原理——关键渲染路径(critical rendering path) 这个过程无论首次加载还是后续操作都会经历这样的过程。 浏览器渲染页面过程: 1、浏览器构建对象模型: (1)构建DOM对象:HTML=>DOM (2)构建CSSOM对象:CSS=>CSSOM 2、浏览器构建
阅读全文
摘要:一、性能是Web网站和应用的支柱 优化主要体现在流量、搜索、转换率、用户体验。 据Amazon亚马逊的发现,每100ms延迟会导致1%的销量损失。 移动端用户更缺少耐心,大于3秒加载导致53%的跳出率。 二、性能优化的标准和指标 RAIL测量模型: Response响应,这里是指网页给用户的响应,如
阅读全文
