前端面試(七)

2021-10-04 13:46:33 字數 2433 閱讀 7475

同源是指協議,網域名稱,埠均一致。同源策略限制了從同乙個源載入的文件或指令碼如何與來自另乙個源的資源進行互動。這是乙個用於隔離潛在惡意檔案的重要安全機制。

cookie、localstorage、indexdb無法讀取;

dom無法獲得;

ajax請求不能傳送;

ajax,websocket,cors

xmlhttprequest物件的工作流程

相容性處理

事件的觸發條件

事件的觸發順序

跨站請求偽造(cross—site request forgery)

使用者c開啟瀏覽器,訪問受信任**a,輸入使用者名稱和密碼請求登入**a;

在使用者資訊通過驗證後,**a產生cookie資訊並返回給瀏覽器,此時使用者登入**a成功,可以正常傳送請求到**a;

使用者未退出**a之前,在同一瀏覽器中,開啟乙個tab頁訪問**b;

**b接收到使用者請求後,返回一些攻擊性**,並發出乙個請求要求訪問第三方站點a;

瀏覽器在接收到這些攻擊性**後,根據**b的請求,在使用者不知情的情況下攜帶cookie資訊,向**a發出請求。**a並不知道該請求其實是由b發起的,所以會根據使用者c的cookie資訊以c的許可權處理該請求,導致來自**b的惡意**被執行。 

token驗證

referer驗證

隱藏令牌

跨域指令碼攻擊(cross-site scripting)

1、型別:

(1)持久型跨站:最直接的危害型別,跨站**儲存在伺服器(資料庫)。

(3)dom跨站(dom xss):dom(document object model文件物件模型),客戶端指令碼處理邏輯導致的安全問題。

2、防禦方法

dtd (document type definition,文件型別定義)是一系列的語法規則,用來定 義xml或(x)html的檔案型別。瀏覽器會使用它         來判斷文件型別,決定使用何種協 議來解析,以及切換瀏覽器模式。

doctype是用來宣告文件型別和dtd規範的,- -個主要的用途便是檔案的合法性驗證。如果檔案**不合法,那麼瀏覽器解析          時便會出一些差錯

html5

html 4.01 strict

該 dtd 包含所有 html 元素和屬性,但不包括展示性的和棄用的元素(比如 font)。不允許框架集(framesets)。

該 dtd 包含所有 html 元素和屬性,包括展示性的和棄用的元素(比如 font)。不允許框架集(framesets)。

該 dtd 等同於 html 4.01 transitional,但允許框架集內容。

dom tree:瀏覽器將html解析成樹形的資料結構。

css rule tree:瀏覽器將css解析成樹形的資料結構。

render tree: dom和cssom合併後生成render tree。

layout: 有了render tree,瀏覽器已經能知道網頁中有哪些節點、各個節點的css定義以及他們的從屬關係,從而去計算出每個         節點在螢幕中的位置。

painting: 按照算出來的規則,通過顯示卡,把內容畫到螢幕上。

reflow重排

dom結構中的各個元素都有自己的盒子(模型),這些都需要瀏覽器根據各種樣式來計算並根據計算結果將元素放到它該出現的           位置,這個過程稱之為reflow。

觸發reflow的條件:

當你增加、刪除、修改dom結點時,會導致reflow或repaint

當你移動dom的位置,或是搞個動畫的時候

當你修改css樣式的時候

當你resize視窗的時候(移動端沒有這個問題),或是滾動的時候

當你修改網頁的預設字型時

repaint重繪

當各種盒子的位置、大小以及其他屬性,例如顏色、字型大小等都確定下來後,瀏覽器於是便把這些元素都按照各自的特性繪製了一遍,於是頁面的內容出現了,這個過程稱之為repaint。

觸發repaint的條件:

dom改動;

css改動;

1、資源壓縮合併,減少http請求

2、非核心**非同步載入+ 非同步 載入的方式+ 非同步載入的區別

3、利用瀏覽器緩——快取的分類 ——快取的原理

4、使用cdn

5、預解析dns

方式:動態指令碼載入; defer;  async;

區別:defer是在html解析完之後才會執行,如果是多個,按照載入的順序依次執行;

async是在載入完之後立即執行,如果是多個,執行順序和載入順序無關;

分為強快取和協商快取

前端面試 前端面試總結2018 07

2周面試了11家公司吧,具體面試題如下 面試第一周 7.23 7.27 中谷芯厚建 蘇寧vivo外包 電面 杭州通策會 第二週 7.30 8.3 南京軟體谷研究院 烽火科技 邁特望,蘇寧外包 電面 平安科技外包 華泰 外包 一輪 技術面,二輪現場技術面 三隻松鼠 電面 一.中谷芯 二.厚建 angu...

前端面試 前端面試題300道

jsonp是如何產生的 1 乙個眾所周知的問題,ajax直接請求普通檔案存在跨域無許可權問題,甭管你是靜態頁面 動態頁面 web伺服器,wcf,只要是跨域請求,一律不准。2 不過我們又發現,web頁面上呼叫js檔案時則不受是否跨域的影響 不僅如此,我們還發現凡是擁有 src 這個屬性的標籤都擁有跨域...

前端面試整合

1.befor和 befor區別 1 相同點 都可以用來表示偽類物件,設定物件前面的內容 befor和 befor是等效的 2 不同點 befor是css2的寫法,befor是css3的寫法。css2的相容性好 h5開發中用 befor好 但冒號是css3偽類。雙冒號表示偽元素 2.盒模型 box ...