今天合作多年的后端小伙伴过来和我探讨跨域的问题，他比较好奇：线上环境是因为NGINX帮前端处理了跨域的问题，配置好了Access-Control-Allow-Origin,Access-Control-Allow-Credentials，那么本地调试时候，你是怎么处理的呢, 然…

本章关于浏览器原理部分的内容主要来源于浏览器工作原理，这是一篇很长的文章，可以算上一本小书了，有精力的非常建议阅读。 用户界面 - 包括地址栏、前进/后退按钮、书签菜单等。除了浏览器主窗口显示的您请求的页面外，其他显示的各个部分都属于用户界面。 浏览器引擎 - 在用户界面和呈现…

开发人员应该掌握的 HTTP 知识

HTTP协议作为前端开发的重要基础知识，却是很多非计算机专业出身的码农的软肋。笔者通过《图解http》一书系统的学习了HTTP协议的基础内容，并旁征博引，试图用更加简练的语言着重描述出HTTP协议需要掌握的重点内容，帮助不爱看书的同学节省时间。 HTTP协议定义Web客户端如何…

在本文中，我将介绍常用的安全头信息设置，并对每个响应头设置给出一个示例。 内容安全策略（CSP）常用来通过指定允许加载哪些资源来防止跨站点脚本攻击。在接下来所介绍的所有安全头信息中，CSP 可能是创建和维护花费时间最多的而且也是最容易出问题的。在配置你的网站 CSP 过程中，要…

CSP 的实质就是白名单制度，开发者明确告诉客户端，哪些外部资源可以加载和执行，等同于提供白名单。它的实现和执行全部由浏览器完成，开发者只需提供配置。

前端跨域是每个前端人绕不过的坎，也是必须了解的一个知识点。我记得第一次遇到前端跨域这个坑的时候，真是无语到极点，对于一个移动端出身的人来说，觉得这个玩意无可理喻。但是后来慢慢了解，觉得前端的同源策略是非常有必要的。同源策略就是浏览器默认让www.baidu.com不能加载来自w…

随着互联网的高速发展，信息安全问题已经成为企业最为关注的焦点之一，而前端又是引发企业安全问题的高危据点。在移动互联网时代，前端人员除了传统的 XSS、CSRF 等安全问题之外，又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然，浏览器自身也在不断在进化和发…

随着互联网的高速发展，信息安全问题已经成为企业最为关注的焦点之一，而前端又是引发企业安全问题的高危据点。在移动互联网时代，前端人员除了传统的 XSS、CSRF 等安全问题之外，又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然，浏览器自身也在不断在进化和发…