script 标签不受同源策略影响。 动态插入到 DOM 中的 script 脚本可以立即得到执行。 客户端创建一个 JavaScript 函数，用来接收服务端返回的数据。 客户端动态插入 script 标签执行请求。 服务端将数据和 js 回调函数名拼接为函数调用的字符串并返…

XSS是指浏览器中执行非官方的恶意脚本，全称为 Cross Site Scripting(即跨站脚本)。既然是非官方的脚本，那攻击者是如何将恶意脚本注入到网站中？加入这些恶意脚本的意图是什么？开发者又该如何防范？ 持久性，若网站不做处理，则攻击一直存在。 存储型XSS通常出现在…

即（Cross Site Scripting）中文名称为：跨站脚本攻击。恶意攻击者在web页面中会插入一些恶意的script代码。当目标网站、目标用户浏览器渲染HTML文档的过程中，出现了不被预期的脚本指令并执行时，XSS就发生了，因此达到恶意攻击用户的目的。 反射型XSS：发…

随着互联网的高速发展，信息安全问题已经成为企业最为关注的焦点之一，而前端又是引发企业安全问题的高危据点。在移动互联网时代，前端人员除了传统的 XSS、CSRF 等安全问题之外，又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然，浏览器自身也在不断在进化和发…

前端本地开发的场景中，我们需要频繁的改动代码，并需要实时看到效果，并且在一些开发场景中，我们需要将特定的请求代理到特定的IP、本地文件等，所以使用fiddler或whistle等本地、真机抓包调试工具是非常必要的。 在历史的长河中，我们是使用fiddler+willow再搭配小…

切换的形式多种多样，然而万变不离其宗。在前端开发工作中，我钟爱于使用 swpier ，今天想单独为其写一篇文章，介绍下我的使用心得。 首先说下我的使用方式。我使用的是 vue 版本通过 npm方式安装 import 方式引入的。 这里又一个关键点v-if="swiperOpti…

但也是有方式也有弊端，可以绕开的呢。为啥？ 可以通过前端向自己定义后端接口发起请求，在后端接口函数中用axios添加自定义Referer并发起代请求～以此绕开 初衷是因为上文的myImage对象除了负责给img节点设置src，还要负责预加载图片。但是这样的话，在面向对象设计中，…

注意: 默认情况下每次 commit 都会向 localstorage 写入数据，localstorage 写入是同步的，这样对性能存在影响，应该分场景尽量避免频繁写入持久化数据。 mutation：提交更新数据的方法，必须是同步的(如果需要异步使用action)。 防抖 de…

URL（Uniform Resource Locator），统一资源定位符，俗称网址。用于定位互联网上资源。URL 给资源的位置提供了一种抽象的识别方法，并用这种方法给资源定位，从而对资源进行各种操作，增删改查。 scheme - 定义协议的类型。常见的协议有 http、htt…