面试题速刷 - 知识广度2

• 有哪些前端攻击？如何预防？
  XSS 跨站脚本攻击
  
  预防：尖括号替换，Vue中用插值{}不会发生XSS攻击。
  CSRF 跨站请求伪造
  
  预防：服务端严格控制跨域，验证机制二次确认 SameSite禁止第三方cookie
  点击劫持
  
  演示一下：
  
  预防：
  1.判断两个iframe域名是否一致
  2.让当前网页只在自己iframe的域名中加载
  
  DDoS 分布式拒绝服务
  散播病毒、木马软件
  预防：硬件预防
  
  SQL注入（古老的攻击手段，前后端未分离时有）
  

• ❗❗从输入url到页面展示的完整过程
  1. 网络请求
  DNS查询（得到IP地址），建立TCP连接（三次握手），浏览器发起HTTP请求，收到请求响应得到HTML源代码。
  继续请求静态资源，解析HTML遇到静态资源（JS CSS 图片 视频）会继续发起网络请求。注意：静态资源可能会有强缓存。
  2. 解析：字符串->结构化数据
  结构化：HTML父 子；结构化的数据不散乱。
  HTML构建DOM树，CSS构建CSSOM树，两者构建render（渲染树）
  
  解析过程很复杂
  优化解析：
  3. 渲染
  计算各个DOM尺寸、定位，最后绘制到页面，遇到JS可能会执行，异步CSS