前后端数据交互经常会碰到请求跨域，什么是跨域，以及有哪几种跨域方式，这是本文要探讨的内容。 本文完整的源代码请猛戳github博客，纸上得来终觉浅，建议大家动手敲敲代码。 同源策略是一种约定，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，浏览器很容易受到XSS、CSR…

浏览器只对网络请求有同源限制，同源就是协议、域名和端口号一致，不同源的客户端脚本在没有明确授权的情况下，不能读写对方XHR资源，反之不同源脚本读取对方XHR资源就是跨域。以http://www.a.com/test/index.html 的同源检测举例： 浏览器对script标…

介绍： 身为一个不怎么接触后台的前端，一直想知道web安全究竟是怎么攻击的以及做了哪些处理，什么htttp响应头设置总是一脸懵。最近在学习node，就顺便写了web安全攻击的示例以及解决方案。参考了一

介绍web安全攻击的基本原理以及常用的解决方案,基本实现是node和react，做简单的攻击演示和防御效果，帮助前端理解web安全

浏览器主进程：只有一个，主要控制页面的创建、销毁、网络资源管理、下载等。 第三方插件进程：每一种类型的插件对应一个进程，仅当使用该插件时才创建。 GPU进程：最多一个，用于3D绘制等。 浏览器渲染进程(浏览器内核)：每个Tab页对应一个进程，互不影响。 这里我们只考虑输入的是一…

前言：这是作为一个前端开发对 HTTPS 的浅显的理解，仅仅是可以让你在看完文章之后对 HTTPS 的原理了解，具体的实现方式并没有给出。有不对的地方欢迎指出。 HTTPS（全称：Hyper Text Transfer Protocol over Secure Socket L…

跨域：是指a页面想获取b页面资源，如果a、b页面的协议、域名、端口、子域名不同，所进行的访问行动都是跨域的，而浏览器为了安全问题一般都限制了跨域访问，也就是不允许跨域请求资源。注意：跨域限制访问，其实是浏览器的限制。 1. jsonp可以解决 2. cors设置Access-C…

性能优化是把双刃剑，有好的一面也有坏的一面。好的一面就是能提升网站性能，坏的一面就是配置麻烦，或者要遵守的规则太多。并且某些性能优化规则并不适用所有场景，需要谨慎使用，请读者带着批判性的眼光来阅读本文。 本文相关的优化建议的引用资料出处均会在建议后面给出，或者放在文末。 1. …

XSS 简单点来说，就是攻击者想尽一切办法将可以执行的代码注入到网页中。 XSS 可以分为多种类型，但是总体上我认为分为两类：持久型和非持久型。 持久型也就是攻击的代码被服务端写入进数据库中，这种攻击危害性很大，因为如果网站访问量很大的话，就会导致大量正常访问页面的用户都受到攻…