Browser

`Server-Sent Events(SSE)`是一种由服务器单向推送实时更新到客户端的方案，基本原理是客户端通过`HTTP`请求打开与服务端的持久连接，服务端可以通过该连接连续发送事件数据。

跨域 制定HTML规则时，出于安全的考虑，一个源的网站不允许与另一个源的资源进行交互，浏览器制定此规则为同源策略。 同源即指的网站具有相同的域，即 协议(protocol)、主机(host)、端口号(port) 相同。 跨域资源嵌入是允许的，但是浏览器限制了Javascript不能与加载的内容进行交

SSRF服务器端请求伪造 SSRF服务端请求伪造漏洞，也称为XSPA跨站端口攻击，是一种由攻击者构造一定的利用代码导致服务端发起漏洞利用请求的安全漏洞，一般情况下SSRF攻击的应用是无法通过外网访问的，所以需要借助目标服务端进行发起，目标服务器可以链接内网和外网，攻击者便可以通过目标主机攻击内网应用

TCP三次握手 传输控制协议TCP，Transmission Control Protocol是一种面向连接的、可靠的、基于字节流的传输层通信协议，其是运行在OSI七层模型中的运输层，为了在不可靠的互联网络上提供可靠的端到端字节流而专门设计的一个传输协议。 三次握手 过程 client server

CSS劫持攻击 CSS劫持是一种并不很受重视的劫持方式，但是其也有一定的危害，且由于其并不一定需要依赖JavaScript，这使得此种攻击方式更容易实现。 ClickJacking点击劫持 当访问某网站时，利用CSS将攻击者实际想让你点击的页面进行透明化隐藏，然后在页面后显示 一些东西诱导让你点击，

分布式SESSION一致性 SESSION是服务器为客户端创建的一个会话，存储用户的相关信息，用以标识用户身份等。在单服务器环境下是不需要考虑会话的一致性的问题的，但是在集群环境下就会出现一些问题，假如一个用户在登录请求时负载均衡到了A服务器，A服务器为其分配了SESSION，下次请求数据时被分配到

对称加密与非对称加密 在数字加密算法中，可划分为对称加密和非对称加密。 对称加密 对称加密算法中对于数据的加密与解密使用同一密钥，即使用相同的密码对内容进行加密解密。 内容 + 密钥 = 密文 密文 - 密钥 = 原文 优点 加解密速度快，效率高，适合一对一的信息加密传输 缺点 数据传输前必须协商好

RESTful架构与RPC架构 在 架构中，关注点在于资源，操作资源时使用标准方法检索并操作信息片段，在 架构中，关注点在于方法，调用方法时将像调用本地方法一样调用服务器的方法。 RESTful架构 即表述性状态传递 ，是一种软件架构风格，也可以称作是一种设计 的模式， 通过 协议定义的通用动词方法

OSI七层模型 OSI七层模型包括物理层、数据链路层、网络层、运输层、会话层、表示层、应用层，其中会话层、表示层、应用层一般统称为应用层，在TCP/IP四层模型中物理层与数据链路层归为网络接口层，网络层与运输层是单独的层级，会话层、表示层、应用层归为应用层。 物理层 物理层的主要任务描述为确定与传输

SSO单点登录 SSO单点登录是指在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。 实例 最初的时候，服务的提供者只做了一个单系统，所有的功能都在单系统上，此时不需要SSO，一次登录就可以访问所有功能，后来用户量越来越大且功能服务越来越多，为了合理利用资源和降低耦合性，服务商将

CDN缓存的理解 CDN即内容分发网络Content Delivery Network，CDN的基本原理是广泛采用各种缓存服务器，将这些缓存服务器分布到用户访问相对集中的地区或网络中，在用户访问网站时，利用全局负载技术将用户的访问指向距离最近的工作正常的缓存服务器上，由缓存服务器直接响应用户请求，C

XSS跨站脚本攻击 跨站脚本攻击XSS，是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中，当正常用户访问该页面时，则可导致嵌入的恶意脚本代码的执行，从而达到恶意攻击用户的目的。 类型 反射型XSS： 攻击者事先制作好攻击链接,需要欺骗用户自己去点击链接才

TCP与UDP异同 TCP/IP模型的运输层有两个不同的协议：UDP用户数据报协议与TCP传输控制协议。 相同点 TCP与UDP都是运行在运输层的协议。 TCP与UDP的通信都需要开放端口。 不同点 TCP TCP是面向连接的协议，提供全双工通信，需要建立链接之后再传输数据，数据传输负载相对较大。

GET和POST的区别 超文本传输协议HTTP的设计目的是保证客户端与服务端之间的通信，HTTP协议的工作方式是客户端与服务端之间的请求响应，在客户端与服务端进行请求响应时最常用的两种方法就是GET与POST。 区别 GET是安全的、幂等的，而POST是 不安全的、不幂等的。 GET在浏览器回退或者

domReady的理解 domReady是名为DOMContentLoaded事件的别称，当初始的HTML文档被完全加载和解析完成之后，DOMContentLoaded事件被触发，而无需等待样式表、图像和子框架的完全加载。 描述 浏览器渲染DOM结构是有一定顺序的，虽然不同浏览器的实现各有不同，但是

CSRF跨站请求伪造 跨站请求伪造通常缩写为CSRF或者XSRF，是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本XSS相比，XSS利用的是用户对指定网站的信任，CSRF利用的是网站对用户浏览器的信任，浏览器对于同一domain下所有请求会自动携带cookie。

OAUTH开放授权 开放授权为用户资源的授权提供了一个安全的、开放而又简易的标准。 的授权不会使第三方触及到用户的帐号信息例如用户名与密码等，即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权，因此 授权是安全的，目前 的版本为 。 实例 假如此时有一个网站提供照片的冲印服务并且提供邮

强缓存与协商缓存 浏览器缓存是浏览器在本地磁盘对用户最近请求过的资源进行存储，当访问者再次访问同一资源时，浏览器就可以直接从本地磁盘加载资源，通过缓存的方式就可以减少与服务器的数据传输，减少服务器的负担，加快页面响应速度等。 描述 良好的缓存策略可以降低资源的重复加载提高网页的整体加载速度，通常浏览

微信小程序实现原理 微信小程序采用 、`wxss javascript MVVM UI Webview AppService Webview AppService JSBridge UI`的渲染与事件的处理。 目录结构 打包前 打包后 架构方案 微信小程序的框架包含两部分 视图层与 逻辑层， 层用来

DNS解析过程 域名是为了方便记忆而专门建立的一套地址转换系统，要访问一台互联网上的服务器，最终还必须通过IP地址来实现，域名解析就是将域名重新转换为IP地址的过程。一个域名对应一个IP地址，一个IP地址可以对应多个域名，所以多个域名可以同时被解析到一个IP地址，域名解析需要由专门的域名解析服务器D