HTTPS
HTTP+加密(SSL、TLS)+认证+完整性保护 = HTTPS;
GET和POST的区别
- get拉取数据,post传输数据
- get请求能被浏览器主动缓存,post不会(除非手动)
- get请求在URL中传送的参数是有长度限制的
- get请求参数在URL中传递,post在request body中传递
- get请求参数会保留在浏览器历史记录里面
- get请求在浏览器回退上无影响,post会再次请求一次
闭包、闭包缺点
优点:
- 保护函数内的变量安全,加强了封装性
- 在内存中维持一个变量(用的太多就变成了缺点,占内存)
- 方便调用上下文的局部变量。
- 逻辑连续,当闭包作为另一个函数调用的参数时,避免你脱离当前逻辑而单独编写额外逻辑。
缺点:
- 返回闭包的函数是个非常大的函数。
- 常驻内存,会增大内存使用量,使用不当很容易造成内存泄露。
- 内存浪费问题,无效内存的产生。
注意:
- 由于闭包会使得函数中的变量都被保存在内存中,内存消耗很大,所以不能滥用闭包,否则会造成网页的性能问题,在IE中可能导致内存泄露。
- 解决方法是,在退出函数之前,将不使用的局部变量全部删除。
Ajax特点以及优缺点
优点:
- 页面无刷新,在页面内与服务器通信,给用户的体验非常好。
- 使用异步方式与服务器通信,不需要打断用户的操作,具有更加迅速的响应能力。
- ajax的原则是“按需取数据”,可以最大程度的减少冗余请求,和响应对服务器造成的负担。
- 基于标准化的并被广泛支持的技术,不需要下载插件或者小程序。
缺点:
- ajax干掉了back按钮,即对浏览器后退机制的破坏。后退按钮是一个标准的web站点的重要功能,但是它没法和js进行很好的合作。(,在Gmail下面是可以后退的,但是,它也并不能改变ajax的机制,它只是采用的一个比较笨但是有效的办法,即用户单击后退按钮访问历史记录时,通过创建或使用一个隐藏的IFRAME来重现页面上的变更。)
- 安全问题:ajax技术就如同对企业数据建立了一个直接通道。这使得开发者在不经意间会暴露比以前更多的数据和服务器逻辑。
- 对搜索引擎的支持比较弱;
- 破坏了程序的异常机制。
前端安全
- XSS:(cross-site scripting)跨域脚本攻击;
原理:,不需登录验证,向页面注入js脚本,让你的js脚本执行有误;
解决:(1)通过set-cookie的HTTPonly属性来加以限制,使得cookie不被JavaScript脚本访问到;(2)输入检查:验证,特殊字符过滤掉;(3)输出检查。 - CRSF:(cross-siterequest forgery)跨站资源伪造;
原理:以用户注册登录了A网站,A网站给他一个cookie,当该用户访问B网站时,B网站给用户一个引诱点击,使得该用户点击进入A网站。(用户在网站登录过,或者网站有漏洞);
解决:(1)Token验证;(2)Referer验证(页面来源);(3)隐藏令牌(与Token类似,Token隐藏在http头中)
JavaScript作用域类型(全局作用域、函数作用域、块级作用域);
- 全局变量:声明在函数外部的变量(所有没有var直接赋值的变量都属于全局变量);
- 局部变量:声明在函数内部的变量(所有没有var直接赋值的变量都属于全局变量)
vari=100;//显式申明
i=100;//隐式申明
在函数中使用var关键字进行显式申明的变量是做为局部变量,而没有用var关键字,使用直接赋值方式声明的是全局变量。 - 全局变量在整个上下文都有效只是在没有赋值之前调用,会输出undefined
- 函数作用域是针对局部变量来说的,在函数中定义的变量在函数外不能获取
- JavaScript有没有块级作用域;
js中没有块级作用域,但是可以用闭包实现类似功能。