网站的安全模式源于“同源策略”，web浏览器允许第一个web页面中的脚本访问页面中的数据，但前提是两个web页面具有相同的源。此策略防止一个页面的恶意脚本通过该页面的文档访问另一个网页上的敏感数据。 但是，跨网站脚本 (XSS)攻击可通过欺骗网站提供恶意代码和计划好的内容来绕过…

XSS 的防御很复杂，并不是一套防御机制就能就解决的问题，它需要具体业务具体实现。 目前来说，流行的浏览器内都内置了一些 XSS 过滤器，但是这只能防御一部分常见的 XSS，而对于网站来说，也应该一直寻求优秀的解决方案，保护网站及用户的安全，我将阐述一下网站在设计上该如何避免 …

一、是什么 JWT（JSON Web Token），本质就是一个字符串书写规范，如下图，作用是用来在用户和服务器之间传递安全可靠的信息 在目前前后端分离的开发过程中，使用token鉴权机制用于身份验证

在前端面试中，经常会被问到“一个页面从输入URL到页面加载显示完成，这个过程都发生了什么”，这是前端的经典面试题之一。这个过程涉及的东西很多，区分度很高。 载入解析到的资源文件，完成页面渲染。 ☞其实，我们了解这个过程对前端的性能优化是有意义的，在这个过程中找到优化点，去缩短请…

iframe 是 Web 开发中最古老、最简单的内容嵌入技术之一，时至今日仍被使用。然而，在实践中使用 iframe 可能会带来一些安全隐患，向攻击者敞开大门。因此，在这篇文章中，我将讨论使用

transfer：可选参数，高级用法，这里不作讨论，是一串和message 同时传递的 Transferable 对象. 这些对象的所有权将被转移给消息的接收方，而发送一方将不再保有所有权。

工作场景中经常会用到 iframe 嵌套页面，决定彻底学习以下相关的知识。涉及到同源、iframe、iframe之间的通信等知识

客户又反馈内嵌的第三方页面又不能正常访问啦！ 快来跟小姐姐一起学一学iframe相关的知识，一次搞定iframe吧。

随着互联网的高速发展，信息安全问题已经成为企业最为关注的焦点之一，而前端又是引发企业安全问题的高危据点。在移动互联网时代，前端人员除了传统的 XSS、CSRF 等安全问题之外，又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然，浏览器自身也在不断在进化和发…