-
有哪些前端攻击?如何预防?
XSS 跨站脚本攻击
预防:尖括号替换,Vue中用插值{}不会发生XSS攻击。
CSRF 跨站请求伪造
预防:服务端严格控制跨域,验证机制二次确认 SameSite禁止第三方cookie
点击劫持
演示一下:
预防:
1.判断两个iframe域名是否一致
2.让当前网页只在自己iframe的域名中加载
DDoS 分布式拒绝服务
散播病毒、木马软件
预防:硬件预防
SQL注入(古老的攻击手段,前后端未分离时有)
-
❗❗从输入url到页面展示的完整过程
1. 网络请求
DNS查询(得到IP地址),建立TCP连接(三次握手),浏览器发起HTTP请求,收到请求响应得到HTML源代码。
继续请求静态资源,解析HTML遇到静态资源(JS CSS 图片 视频)会继续发起网络请求。注意:静态资源可能会有强缓存。
2. 解析:字符串->结构化数据
结构化:HTML父 子;结构化的数据不散乱。
HTML构建DOM树,CSS构建CSSOM树,两者构建render(渲染树)
解析过程很复杂
优化解析:
3. 渲染
计算各个DOM尺寸、定位,最后绘制到页面,遇到JS可能会执行,异步CSS