前端面試（七）

同源是指協議，網域名稱，埠均一致。同源策略限制了從同乙個源載入的文件或指令碼如何與來自另乙個源的資源進行互動。這是乙個用於隔離潛在惡意檔案的重要安全機制。

cookie、localstorage、indexdb無法讀取；

dom無法獲得；

ajax請求不能傳送；

ajax,websocket,cors

xmlhttprequest物件的工作流程

相容性處理

事件的觸發條件

事件的觸發順序

跨站請求偽造（cross—site request forgery）

使用者c開啟瀏覽器，訪問受信任**a，輸入使用者名稱和密碼請求登入**a；

在使用者資訊通過驗證後，**a產生cookie資訊並返回給瀏覽器，此時使用者登入**a成功，可以正常傳送請求到**a；

使用者未退出**a之前，在同一瀏覽器中，開啟乙個tab頁訪問**b；

**b接收到使用者請求後，返回一些攻擊性**，並發出乙個請求要求訪問第三方站點a；

瀏覽器在接收到這些攻擊性**後，根據**b的請求，在使用者不知情的情況下攜帶cookie資訊，向**a發出請求。**a並不知道該請求其實是由b發起的，所以會根據使用者c的cookie資訊以c的許可權處理該請求，導致來自**b的惡意**被執行。

token驗證

referer驗證

隱藏令牌

跨域指令碼攻擊（cross-site scripting）

1、型別：

（1）持久型跨站：最直接的危害型別，跨站**儲存在伺服器（資料庫）。

（3）dom跨站（dom xss）：dom（document object model文件物件模型），客戶端指令碼處理邏輯導致的安全問題。

2、防禦方法

dtd (document type definition,文件型別定義)是一系列的語法規則，用來定義xml或(x)html的檔案型別。瀏覽器會使用它來判斷文件型別，決定使用何種協議來解析,以及切換瀏覽器模式。

doctype是用來宣告文件型別和dtd規範的，- -個主要的用途便是檔案的合法性驗證。如果檔案**不合法，那麼瀏覽器解析時便會出一些差錯

html5

html 4.01 strict

該 dtd 包含所有 html 元素和屬性，但不包括展示性的和棄用的元素（比如 font）。不允許框架集（framesets）。

該 dtd 包含所有 html 元素和屬性，包括展示性的和棄用的元素（比如 font）。不允許框架集（framesets）。

該 dtd 等同於 html 4.01 transitional，但允許框架集內容。

dom tree：瀏覽器將html解析成樹形的資料結構。

css rule tree：瀏覽器將css解析成樹形的資料結構。

render tree: dom和cssom合併後生成render tree。

layout: 有了render tree，瀏覽器已經能知道網頁中有哪些節點、各個節點的css定義以及他們的從屬關係，從而去計算出每個節點在螢幕中的位置。

painting: 按照算出來的規則，通過顯示卡，把內容畫到螢幕上。

reflow重排

dom結構中的各個元素都有自己的盒子(模型)，這些都需要瀏覽器根據各種樣式來計算並根據計算結果將元素放到它該出現的位置，這個過程稱之為reflow。

觸發reflow的條件：

當你增加、刪除、修改dom結點時，會導致reflow或repaint

當你移動dom的位置，或是搞個動畫的時候

當你修改css樣式的時候

當你resize視窗的時候(移動端沒有這個問題)，或是滾動的時候

當你修改網頁的預設字型時

repaint重繪

當各種盒子的位置、大小以及其他屬性，例如顏色、字型大小等都確定下來後，瀏覽器於是便把這些元素都按照各自的特性繪製了一遍，於是頁面的內容出現了，這個過程稱之為repaint。

觸發repaint的條件：

dom改動；

css改動；

1、資源壓縮合併，減少http請求

2、非核心**非同步載入+ 非同步載入的方式+ 非同步載入的區別

3、利用瀏覽器緩——快取的分類 ——快取的原理

4、使用cdn

5、預解析dns

方式：動態指令碼載入； defer; async;

區別：defer是在html解析完之後才會執行，如果是多個，按照載入的順序依次執行；

async是在載入完之後立即執行，如果是多個，執行順序和載入順序無關；

分為強快取和協商快取

前端面試（七）

前端面試前端面試總結2018 07

前端面試前端面試題300道

前端面試整合

前端面試（七）

前端面試 前端面試總結2018 07

前端面試 前端面試題300道

前端面試整合

相關推薦

前端面試前端面試總結2018 07

前端面試前端面試題300道