张啊咩

摘要： 之前介绍过csrf攻击，那个是通过编写恶意页面来通过跨域请求来调用用户的api 现在介绍的是xss攻击，这种攻击和csrf不同的是，恶意脚本是注入到了用户要访问页面的本身，而不是一个恶意页面 xss攻击按攻击方式可以分为2类:通过url和通过数据库 1.非持久性（一般通过url） 举个栗子： 正常发 阅读全文

摘要： 回流 就是页面布局发生变化。 重绘 就是节点需要更改外观而不会影响布局。 和 Event Loop 的关系 1. 回流 和 重绘 发生在 Event Loop 执行完微任务后，因为浏览器是 60Hz 的刷新率，每 16.6ms 才会更新一次。 2. 然后判断是否有 resize 或者 scroll  阅读全文

摘要： 1. script 没有 defer 和 async 会停止（阻塞）dom 树构建，立即加载，并执行脚本 2. script 带 async 不会停止（阻塞）dom 树构建，立即异步加载，加载好后立即执行 3. script 带 defer 不会停止（阻塞）dom 树构建，立即异步加载。加载好后，如 阅读全文

摘要： 之前我们已经讨论过浏览器的渲染原理，今天我们来讨论下更广泛的从输入URL到渲染出页面的过程。 1. 查询该URL是否有缓存 如果有，则直接返回，没有的话，下一步 2. 查询URL对应的IP 首先，到 host 文件查找，如果找到则返回。 如果没有找到，去访问 DNS 服务器（一般先访问本地路由器，没 阅读全文

摘要： 我们知道不同浏览器用的不同的渲染引擎： Tridend(IE)、Gecko(FF)、WebKit(Safari,Chrome,Andriod浏览器) 当然 Chrome 重构了一下 WebKit 然后管它叫 Blink。但是大体架构还是和 WebKit 一致的。 我们看看我们常说的 V8 和 Web 阅读全文

摘要： 1. 位置 我们浏览器查找缓存会有优先级： 1. Service Worker 2. Memory Cache 3. Disk Cache 4. Push Cache 5. 网络请求 Service Worker 在上一篇博文，我们已经介绍过Service Worker，我们可以利用。 如果我们定义 阅读全文

摘要： 推荐阅读：Service Worker 简介 在 Service Worker 之前，我们一般用 AppCache 来实现离线体验（就是配置 Manifest 文件的方式），这个会有很多问题（博主曾尝试过，体验非常差，非常难用，而且不灵活）。 而 Service Worker 可以写脚本去灵活自由地 阅读全文

摘要： 在 H5 之前，我们浏览器存储都只能使用 cookie，而一般我们会用 cookie 来存储我们的 SessionID，作为身份凭证。 对比其他存储方式 安全问题 早年 cookie 使用有很多安全的问题，xss 和 csrf 攻击都围绕着 cookie 展开。 注入恶意脚本，形成 xss 攻击，就 阅读全文

摘要： 跨域 如果协议、域名或者端口有一个不同就是跨域。 同源策略 推荐阅读：浏览器同源政策及其规避方法 因为浏览器出于安全考虑(主要用来 防止信息泄露 和 CSRF 攻击)，制定了同源策略，意思就是跨域时 Ajax 请求会失败。 问题： 然而同源策略还是不能完全阻止 CSRF，它只是把 Response 阅读全文

摘要： 在Ajax2.0中多了CORS允许我们跨域，但是其中有着几种的限制：Origin、Methods、Headers、Credentials 1.Origin 当浏览器用Ajax跨域请求的时候，会带上一个请求头“Origin: 协议://页面域名”,而服务器需要返回一个响应头“Access-Contro 阅读全文