jsonp有两部分组成:回调函数和数据,回调函数是响应达到时应该在页面中调用的函数,回调函数的名称一般是在请求中指定,而数据就是传入回调函数中的json数据
优点:能够直接访问响应文本,支持在浏览器和服务器之间双向通信 采用jsonp跨域也存在问题:
使用这种方法,只要是个网站都可以拿到b.com里的数据,存在安全性问题。需要网站双方商议基础token的身份验证,这里不详述。只能是GET,不能POST。因为js标签本身就是一个get请求可能被注入恶意代码,篡改页面内容,可以采用字符串过滤来规避此问题。 二.cors cors背后原理就是通过自定义的http头部让浏览器和服务器进行沟通 在发送请求时,附加一个额外的origin头部,其中包含(协议,域名,端口号),以便服务器根据这个头部信息来决定是否给予响应 如果服务器认为可以接受,就在access-control-allow-origin头部中发回相同的源信息讲一下前端安全?xss,csrf,说一下他们具体是什么,如何预防? 一、xss介绍 当应用程序收到不可信的数据,在没有进行适当的验证和转义的情况下,就将它发送给了浏览器,就会产生跨域脚本攻击(xss),xss允许攻击者在受害者的浏览器上执行脚本,从而劫持用户会话,产生危害,或者将用户回话转移到其他恶意网站上。 二、csrf,跨域请求伪造,一个跨域请求伪造攻击可以迫使登录用户的浏览器将伪造的http请求,包括cookie和其他的一些用户信息,发送到一个存在漏洞的web应用程序上,而应用程序会认为这是一个合法的请求。 本质:重要操作的所有参数都是可以被攻击者猜测到的。攻击者预测出URL的所有参数与参数值,才能成功地构造一个伪造的请求。能注入恶意的HTML/JavaScript代码到用户浏览的网页上,从而达到Cookie资料窃取、会话劫持、钓鱼欺骗等攻击。<攻击代码不一定(非要)在 中>
TCP连接和断开过程(三次招手,四次挥手)
cookie localStorage sessionStorage有什么区别?
https和http有什么区别?(TLS套接层协议)如果登陆的请求是https,而其它的请求是http的会出现什么问题?(一开始答了跨域的问题,后来想了一下,答了cookie会加密,可能导致其它请求无法通过身份验证)
webpack和glup 一、对前端工程化的理解: 我所理解的前端工程化主要应该从模块化、组件化、规范化、自动化四个方面来思考。 模块化:就是将一个大文件拆分成相互依赖的小文件,再进行统一的拼装和加载。只有这样,才有多人协作的可能。 组件化:如果说模块化只是一种理论支持的话,那么把页面组件化就是一种具体实施了,组件化基于模块化,将页面分割成多个组件来拼接完成,这样更便于维护和测试。 规范化:代码规范,格式规范,目录结构规范,接口规则规范。 自动化:一些重复和繁琐的工作,可以直接交给自动化工具来完成,coder只需要简单的配置一些文件即可了。
