在不那么遥远的一些年以前，一个在江湖中行走的前端，只需要了解“前端三剑客”就足以找到一份工作。很多前端只限于 CSS，HTML、JS，网络基础，数据结构之类的都不甚了解。不过这个时期的前端也是最受鄙视的时期，这个时期前端的大量工作依赖于后端，且不需要动画效果和交互效果。 现如今…

最近几天面试都有被提到关于前端安全的了解，虽然之前看过，但只能说出个大概。趁着还记得感觉学习一波~ XSS是发生在目标用户的浏览器层面上的，当渲染DOM树的过程成发生了不在预期内执行的JS代码时，就发生了XSS攻击。 跨站脚本的重点不在‘跨站’上，而在于‘脚本’上。大多数XSS…

杀鸡焉用牛刀呢，今天我们来学习下专门用来处理URL的query的接口：URLSearchParams 。 有时候不知道一个字段是否存在，所以想事先校验下。使用实例的has方法进行判断，代码： 有时候想重写一个字段，而不是添加(append)一个字段，这时候需要使用set方法，比…

浏览器只对网络请求有同源限制，同源就是协议、域名和端口号一致，不同源的客户端脚本在没有明确授权的情况下，不能读写对方XHR资源，反之不同源脚本读取对方XHR资源就是跨域。以http://www.a.com/test/index.html 的同源检测举例： 浏览器对script标…

跨域是指去向一个为非本origin(协议、域名、端口任意一个不同)的目标地址发送请求的过程，这样之所以会产生问题是因为浏览器的同源策略限制。看起来同源策略影响了我们开发的顺畅性.实则不然,同源策略存在的必要性之一是为了隔离攻击。 CSRF，又称跨站请求伪造，指非法网站挟持用户c…

不可否认，这些优化在一定程度上降低了网站加载时间，但对于一个web应用庞大的请求量来说，这些只是冰上一角、隔靴搔痒。 以上问题归根结底是HTTP1.1协议本身的问题，若要从根本上解决HTTP1.1的低效，只能从协议本身入手。为此Google开发了SPDY协议，主要是为了降低传输…