摘要:
之前介绍过csrf攻击,那个是通过编写恶意页面来通过跨域请求来调用用户的api 现在介绍的是xss攻击,这种攻击和csrf不同的是,恶意脚本是注入到了用户要访问页面的本身,而不是一个恶意页面 xss攻击按攻击方式可以分为2类:通过url和通过数据库 1.非持久性(一般通过url) 举个栗子: 正常发 阅读全文
摘要:
回流 就是页面布局发生变化。 重绘 就是节点需要更改外观而不会影响布局。 和 Event Loop 的关系 1. 回流 和 重绘 发生在 Event Loop 执行完微任务后,因为浏览器是 60Hz 的刷新率,每 16.6ms 才会更新一次。 2. 然后判断是否有 resize 或者 scroll 阅读全文
摘要:
1. script 没有 defer 和 async 会停止(阻塞)dom 树构建,立即加载,并执行脚本 2. script 带 async 不会停止(阻塞)dom 树构建,立即异步加载,加载好后立即执行 3. script 带 defer 不会停止(阻塞)dom 树构建,立即异步加载。加载好后,如 阅读全文
摘要:
之前我们已经讨论过浏览器的渲染原理,今天我们来讨论下更广泛的从输入URL到渲染出页面的过程。 1. 查询该URL是否有缓存 如果有,则直接返回,没有的话,下一步 2. 查询URL对应的IP 首先,到 host 文件查找,如果找到则返回。 如果没有找到,去访问 DNS 服务器(一般先访问本地路由器,没 阅读全文
摘要:
我们知道不同浏览器用的不同的渲染引擎: Tridend(IE)、Gecko(FF)、WebKit(Safari,Chrome,Andriod浏览器) 当然 Chrome 重构了一下 WebKit 然后管它叫 Blink。但是大体架构还是和 WebKit 一致的。 我们看看我们常说的 V8 和 Web 阅读全文
摘要:
1. 位置 我们浏览器查找缓存会有优先级: 1. Service Worker 2. Memory Cache 3. Disk Cache 4. Push Cache 5. 网络请求 Service Worker 在上一篇博文,我们已经介绍过Service Worker,我们可以利用。 如果我们定义 阅读全文
摘要:
推荐阅读:Service Worker 简介 在 Service Worker 之前,我们一般用 AppCache 来实现离线体验(就是配置 Manifest 文件的方式),这个会有很多问题(博主曾尝试过,体验非常差,非常难用,而且不灵活)。 而 Service Worker 可以写脚本去灵活自由地 阅读全文
摘要:
在 H5 之前,我们浏览器存储都只能使用 cookie,而一般我们会用 cookie 来存储我们的 SessionID,作为身份凭证。 对比其他存储方式 安全问题 早年 cookie 使用有很多安全的问题,xss 和 csrf 攻击都围绕着 cookie 展开。 注入恶意脚本,形成 xss 攻击,就 阅读全文
摘要:
跨域 如果协议、域名或者端口有一个不同就是跨域。 同源策略 推荐阅读:浏览器同源政策及其规避方法 因为浏览器出于安全考虑(主要用来 防止信息泄露 和 CSRF 攻击),制定了同源策略,意思就是跨域时 Ajax 请求会失败。 问题: 然而同源策略还是不能完全阻止 CSRF,它只是把 Response 阅读全文
摘要:
在Ajax2.0中多了CORS允许我们跨域,但是其中有着几种的限制:Origin、Methods、Headers、Credentials 1.Origin 当浏览器用Ajax跨域请求的时候,会带上一个请求头“Origin: 协议://页面域名”,而服务器需要返回一个响应头“Access-Contro 阅读全文