一、什么是 XSS 攻击?
XSS(跨站脚本攻击)是一种常见的Web安全漏洞,攻击者通过向网页中注入恶意脚本,使这些脚本在其他用户的浏览器中执行,可能导致敏感信息泄露、会话劫持等安全问题。XSS主要有三种类型:存储型XSS、反射型XSS和DOM型XSS。存储型XSS攻击最为严重,攻击代码被长期存储在服务器中,而反射型XSS通常通过恶意链接诱导用户点击。防范XSS的措施包括对输入内容进行验证与输出编码、使用CSP、限制Cookies访问权限等。
二、什么是 CSRF 攻击?
CSRF(跨站请求伪造)是一种攻击方式,攻击者通过诱使用户访问恶意页面或点击恶意链接,伪造用户的请求,从而在不知情的情况下执行不希望的操作。它依赖于用户的登录状态和Cookie信息,攻击者可以利用这一点进行未授权的操作,例如修改账户信息、进行转账等。防范CSRF攻击的方法包括使用CSRF Token、验证请求来源、设置SameSite Cookie等。
三、进程与线程的概念?
进程是操作系统分配资源的基本单位,每个进程都有独立的内存空间和资源,进程之间相互独立。而线程是进程内的执行单元,多个线程共享同一进程的资源,可以并发执行同一个程序中的多个任务。线程创建和切换的开销较小,但线程之间共享资源,可能会发生数据竞争等问题。进程的创建和调度开销较大,但能够保证进程之间的隔离性,避免互相干扰。通常,程序通过多进程或多线程的方式来提高性能和并发能力。
四、进程和线程的区别?
进程是操作系统分配资源的基本单位,每个进程有独立的内存空间和资源,相互之间是完全隔离的。进程创建和切换的开销较大。线程是进程中的执行单元,多个线程共享进程的资源,因此线程间通信非常高效,但也容易产生竞争问题。线程的创建和切换开销较小,适合用于并发处理。进程和线程的主要区别在于资源管理、执行单位、通信方式以及开销。
五、对浏览器的缓存机制的理解?
浏览器的缓存机制通过减少服务器请求、提高页面加载速度来优化用户体验。缓存分为强制缓存和协商缓存两种类型。强制缓存由Expires和Cache-Control控制,指示浏览器直接使用缓存资源。协商缓存依赖Last-Modified、ETag等头部信息,浏览器向服务器询问缓存是否过期,若未过期,服务器返回304 Not Modified。合理配置缓存策略,特别是静态资源和动态资源的缓存时间,能显著提升网站性能。
六、协商缓存和强缓存的区别?
强缓存是指当资源没有过期时,浏览器直接从本地缓存中读取资源,无需向服务器发送请求,常见的控制方法是 Cache-Control 和 Expires。而协商缓存则是浏览器在缓存过期时,通过 Last-Modified 或 ETag 向服务器发送请求,服务器对比缓存信息后返回是否更新的结果。如果资源没有更新,服务器返回 304 Not Modified,浏览器继续使用缓存。强缓存可以提高性能并减少带宽消耗,而协商缓存则能确保获取到最新的资源。
七、浏览器的渲染过程?
浏览器的渲染过程是从用户输入URL开始,经过HTML解析、CSS解析、构建DOM树和CSSOM树,再合并生成渲染树,进行布局计算和绘制,最后合成图层,最终将页面内容显示给用户。在这个过程中,浏览器需要加载和解析资源,如HTML、CSS、JavaScript文件等,尤其是CSS和JavaScript的阻塞性可能会影响渲染速度。因此,优化策略包括懒加载、减少DOM操作和重排、利用GPU加速等。
八、浏览器渲染优化?
浏览器渲染优化的主要目的是提升页面的加载速度和交互性能。优化策略包括减少重排和重绘,通过批量修改DOM、使用class切换等方式避免频繁更新元素样式;优化CSS和JavaScript的加载,使用异步加载、按需加载资源,避免阻塞渲染;图片优化,通过懒加载、合适的格式和尺寸来减小资源大小;以及避免使用昂贵的CSS和JavaScript特性,如复杂的选择器和长时间运行的脚本。通过这些优化,我们能够提升页面的渲染速度和用户体验。
九、Cookie、LocalStorage、SessionStorage区别?
Cookie、LocalStorage和SessionStorage都属于浏览器端的存储机制,它们有不同的存储容量、生命周期和使用场景。Cookie适合存储少量的、需要与服务器交互的数据(如会话ID),每次请求都会带上Cookie;LocalStorage适合存储长期的数据,不会随着请求发送到服务器,存储容量较大;SessionStorage适合存储会话级别的数据,数据会在会话结束时清除,因此适合存储临时信息。Cookie有较多的安全性考虑,如可能遭受XSS和CSRF攻击,而LocalStorage和SessionStorage则在安全性上相对较好,但仍需防范XSS攻击。
十、对事件循环的理解?
事件循环是JavaScript的核心机制,它使得JavaScript能够在单线程环境下处理异步任务。在执行过程中,首先会执行同步任务,然后执行微任务队列中的任务,再执行宏任务队列中的任务。微任务(如Promise回调)会优先于宏任务(如setTimeout回调)执行,这保证了微任务的高优先级。通过事件循环,JavaScript能够在不阻塞主线程的情况下处理异步任务,提高性能并保持UI流畅。
