其他小计

xss

理解：输入可执行的代码，带用户不知情的情况下执行代码
解决：存入后端的数据进行转移，可疑字段进行过滤

CSRF

理解：在已经站点信任信息的情况下，伪造请求或者其他操作

解决：1.Referer 验证请求来源。2.Token通过token验证请求是否正常，token可以自带一下信息。3.SameSite：Cookie 的属性，禁止第三方cookies

Cookies
同源：同协议，同域名，同端口为同源
跨域带cookies:需要前端这是好参数

浏览器进程/线程

浏览器为每个tab页面单独启用进程

每一个单独的tabs的进程，会有一下5个线程模型

GUI 渲染线程（绘图，与js引擎线程相斥）

JavaScript引擎线程（JS执行，解析，与GUI线程相斥）

定时触发器线程

事件触发线程

异步http请求线程

内存泄漏

意外的全局变量：会保存在windows上

未关闭的定时器

获取但未销毁的DOM：var elements = { button: document.getElementById('button')};

闭包
垃圾回收器

删除那些不可访问(null且没有引用)的对象

ES6

类/模块化/promise

箭头函数/参数默认值/参数解构/迭代器和生成器/

模板字符串/块作用域/...扩展赋值/赋值简写{name}

ES7

includes/指数操作符3**2/

ES8

async/await/Object.values()/

HTTP2

多路复用(多个请求并行)/服务器推送/头部压缩