浏览器原理
浏览器进程
现代浏览器是一个多进程的应用程序,主要通过将不同的任务分配给不同的进程来提高性能和安全性。以下是浏览器中常见的几个进程及其功能:
浏览器主进程(Browser Process)
- 管理浏览器的用户界面,包括地址栏、书签栏、前进/后退按钮等。
- 协调与管理子进程(如渲染进程、网络进程等),包括进程的创建和销毁。
- 处理与文件系统的交互(如下载文件)。
- 管理浏览器窗口和标签页的生命周期。
- 处理浏览器的安全机制,比如同源策略、沙盒机制等。
渲染进程(Renderer Process)
- 渲染进程负责页面内容的渲染、布局和绘制,包括 HTML 解析、CSS 解析、JavaScript 执行、图片绘制等。
- 由于性能和安全的考虑,渲染进程运行在一个沙盒环境中,具有较低的权限,限制其对系统资源的访问,减少潜在的安全风险。
- 每个标签页或框架通常会拥有独立的渲染进程,这样可以隔离不同页面的运行,防止一个页面的崩溃影响其他页面。
- 渲染进程会与GPU 进程合作,进行页面的合成和绘制。
浏览器的渲染进程(Renderer Process)负责将网页的 HTML、CSS、JavaScript 解析成可以在屏幕上显示的内容。了解渲染进程的工作流程有助于编写性能优化的代码,避免不必要的渲染和重绘,提高网页的响应速度和用户体验。
渲染进程的主要过程
渲染进程的流程可以分为以下几个阶段:
- 构建 DOM 树(DOM Tree Construction)—DOM tree
- 样式计算(Style Calculation)—CSS tree
- 布局阶段(Layout)
- 分层(Layering)
- 绘制阶段(Painting)
- 合成阶段(Compositing)
接下来逐步介绍每个阶段的工作机制及其细节。
1. 构建 DOM 树(DOM Tree Construction)
1.1 HTML 解析
- HTML 文档的解析:当浏览器接收到 HTML 文件后,渲染进程会开始解析 HTML 内容,并将其转换为一棵 DOM 树(Document Object Model)。
- DOM 树结构:DOM 树是一种由节点组成的树状结构,每个 HTML 标签(如
<div>
、<p>
等)对应 DOM 树中的一个节点,根节点是<html>
标签。 - 顺序解析:HTML 是顺序解析的,浏览器会一边下载 HTML,一边解析并构建 DOM 树。
1.2 阻塞行为
- 外部资源的阻塞:如果在 HTML 文档中遇到外部资源(如 JavaScript 脚本),DOM 构建可能会暂时暂停,直到外部资源加载和执行完成。
- 阻塞的脚本:在
<head>
中的 JavaScript 脚本会阻塞 DOM 树的构建,除非使用async
或defer
。 - CSS 文件的阻塞:CSS 文件不会阻塞 DOM 树的构建,但会阻塞页面的渲染,直到 CSS 加载完成。
- 阻塞的脚本:在
2. 样式计算(Style Calculation)
2.1 CSS 解析
- 构建 CSSOM 树:与 DOM 树类似,浏览器会解析所有的 CSS 样式(包括外部样式表和嵌入式样式),并将其解析成 CSSOM 树(CSS Object Model)。CSSOM 树描述了每个元素的样式信息。
- 层叠顺序处理:在 CSSOM 树构建过程中,浏览器会处理层叠规则(如
inherit
、!important
)、选择器的优先级等,以确定每个 DOM 元素的最终样式。
2.2 合并 CSSOM 和 DOM
- 合成 Render Tree:在这一步,浏览器将 DOM 树与 CSSOM 树结合,生成 渲染树(Render Tree)。渲染树中的每个节点都是可见元素,并包含元素的样式信息。不可见的元素(如
display: none
的元素)不会出现在渲染树中。
3. 布局阶段(Layout)
3.1 布局计算
- 确定元素的大小和位置:布局阶段,也称为 重排(Reflow),浏览器根据渲染树中的信息,计算每个可见元素的几何属性,即它们在屏幕中的确切大小和位置。
- 依赖样式和关系的计算:布局计算取决于元素的样式属性(如
width
、height
、margin
、padding
等),并考虑了父子元素之间的关系(如流式布局或绝对定位等)。 - 流式布局模型:默认情况下,浏览器使用流式布局模型,从上到下、从左到右依次布局。
3.2 回流的触发
- 布局的重新计算:当元素的几何属性(如大小、位置)发生变化时,会触发回流(Reflow),这会导致布局的重新计算。常见的导致回流的操作包括:
- 改变元素的尺寸(如宽高、边框大小等)。
- 在 DOM 中添加或删除元素。
- 读取一些会触发回流的属性,如
offsetWidth
、scrollHeight
等。
4. 分层(Layering)
4.1 图层的生成
- 合成层的创建:在某些情况下,渲染树中的元素会被提升为合成层(Compositing Layer),每个合成层独立渲染。这些图层会交由 GPU 处理,可以优化页面的渲染性能。
- 触发合成层的条件:以下操作可能会触发合成层的生成:
- 具有
z-index
的元素,尤其是使用position: absolute/fixed
。 - 使用
transform
、opacity
、will-change
等属性的元素。
- 具有
4.2 层叠上下文
- 层叠上下文的生成:某些 CSS 属性(如
position
、z-index
、opacity
)会创建一个新的层叠上下文,改变元素的绘制顺序和叠放关系。
5. 绘制阶段(Painting)
5.1 绘制过程
- 绘制渲染树:浏览器会根据渲染树中的信息,将页面中的每个可见元素绘制到屏幕上。这一阶段也被称为 重绘(Repaint)。
- 绘制的内容:包括文本、颜色、边框、阴影、背景图片等视觉效果。
- 重绘的触发:当元素的外观发生变化(如颜色、字体、背景)但不影响布局时,浏览器会触发重绘。例如,修改元素的
color
或background-color
会导致重绘。
5.2 绘制的优化
- 避免频繁重绘:如果代码频繁改变元素的样式,会导致频繁的重绘操作,影响页面性能。可以通过减少不必要的样式修改来优化重绘性能。
6. 合成阶段(Compositing)
6.1 层合成
- 图层合成:在页面渲染过程中,浏览器将已经绘制的图层合成为最终的页面。这些图层可以在 GPU 中处理,特别是当涉及到动画和复杂的视觉效果时,合成操作会减少 CPU 的负担,提高渲染性能。
6.2 GPU 加速
- 硬件加速:当元素具有
transform
、opacity
或者动画效果时,浏览器会将这些元素提升到 GPU 上,利用硬件加速来进行处理。GPU 加速减少了 CPU 的参与,提升了复杂场景下的渲染速度。
渲染过程中的优化和注意事项
减少回流和重绘:
- 避免频繁修改 DOM:一次性修改 DOM 比逐个修改要高效。使用
documentFragment
、innerHTML
批量修改元素。 - 避免强制同步布局:如
offsetWidth
、scrollHeight
等属性的读取会导致浏览器立即执行布局(reflow),应尽量避免在同一轮操作中频繁读取这些属性。
- 避免频繁修改 DOM:一次性修改 DOM 比逐个修改要高效。使用
使用合成层优化渲染:
- **
will-change
**:告知浏览器某个元素可能会发生动画或其他改变,让浏览器提前为该元素创建合成层以优化性能。 - **
transform
和opacity
**:使用这些属性进行动画时,可以避免回流和重绘,因为它们不会影响元素的几何属性。
- **
延迟加载资源:
- Lazy Load:对于图片、视频等大资源,使用懒加载技术,避免一次性加载所有资源,减少页面初次渲染的负担。
- 脚本延迟加载:对于不阻塞渲染的 JavaScript 文件,使用
async
或defer
来延迟加载,确保页面尽快呈现。
减少渲染阻塞:
- 优化 CSS 和 JavaScript:将 CSS 放在
<head>
中,JavaScript 放在<body>
底部,或使用async
和defer
来避免阻塞页面渲染。
- 优化 CSS 和 JavaScript:将 CSS 放在
利用浏览器缓存和 Service Worker:
- 缓存静态资源:通过 HTTP 头的缓存机制(如
Cache-Control
),减少资源重复下载。 - Service Worker:利用 Service Worker 实现离线缓存,加快页面的加载速度,尤其是在 PWA(渐进式 Web 应用)中非常有用。
- 缓存静态资源:通过 HTTP 头的缓存机制(如
总结
浏览器的渲染进程是将 HTML、CSS 和 JavaScript 转换为可视页面的核心流程。其主要步骤包括构建 DOM 树、计算样式、布局、绘制和合成。每个步骤都涉及复杂的计算,优化这些过程能够极大地提升页面的性能和用户体验。通过了解渲染进程的细节,开发者可以针对性地减少回流和重绘、优化合成层,并有效管理资源加载,从而提升前端应用的效率和响应速度。
GPU 进程(GPU Process)
- 处理页面的图形绘制任务,包括加速渲染 HTML、CSS 和图片,尤其是涉及到复杂的 3D 渲染、图形动画和 WebGL 的操作。
- 现代浏览器将页面的某些渲染任务交给 GPU,以提高渲染速度,尤其是在高性能动画、视频播放等场景下,GPU 的硬件加速显得尤为重要。
- GPU 进程的引入可以降低主线程的工作负担,从而提高页面响应速度和流畅度。
网络进程(Network Process)
- 网络进程负责处理所有与网络相关的操作,如发送 HTTP 请求、建立 WebSocket 连接、处理下载等。
- 它负责与服务器通信,获取页面的 HTML、CSS、JavaScript、图片等资源,并将这些资源传递给渲染进程进行处理。
- 网络进程通过处理浏览器的缓存、Cookie、跨域请求等网络层任务,确保浏览器的请求和响应是安全且高效的。
插件进程(Plugin Process)
- 一些页面可能使用外部插件(如 Flash 等)。为了隔离插件的运行,浏览器为插件分配了独立的进程。
- 插件进程与渲染进程独立分离,保证即使插件崩溃,也不会影响到浏览器的稳定性。
- 由于插件已经逐渐被 Web 标准(如 HTML5)取代,浏览器中插件进程的使用越来越少。
存储进程或数据持久化进程(Storage Process)
- 某些浏览器会单独划分一个进程来处理数据存储和持久化操作。
- 负责管理 LocalStorage、IndexedDB、SessionStorage、Service Worker 缓存等浏览器端的数据存储,确保数据的持久化和隔离性。
- 提供数据的安全性和完整性,避免页面之间的数据泄漏。
音频进程(Audio Process)
专门处理与音频播放相关的任务。通过独立的进程管理,可以提高音频的稳定性,并减少主线程的工作量,防止在页面卡顿或崩溃时影响音频播放。
沙盒进程(Sandboxed Process)
- 渲染进程、插件进程等都运行在沙盒模式下,沙盒进程限制了进程对操作系统资源(如文件系统、网络等)的直接访问。
- 这种隔离机制可以防止恶意代码通过网页或插件攻击系统,提升浏览器的整体安全性。
扩展进程(Extensions Process)
- 扩展进程用于处理安装在浏览器中的扩展程序(如 Chrome 扩展)。
- 每个扩展可能会运行在独立的进程中,确保扩展程序的崩溃或错误不会影响浏览器的主进程或其他扩展程序。
总结
现代浏览器的多进程架构通过将不同的任务分配给不同的进程来提高性能、稳定性和安全性。每个进程都有自己的职责,并且相互隔离,防止单个进程的错误影响整个浏览器的运行。这种架构使得浏览器可以在处理复杂任务(如页面渲染、网络请求、扩展管理等)的同时保持高效、稳定的运行。
常见的浏览器进程包括:
- 浏览器主进程:管理 UI、标签页、浏览器窗口。
- 渲染进程:解析 HTML、CSS、JavaScript,处理页面渲染。
- GPU 进程:加速页面的图形绘制任务。
- 网络进程:处理所有网络请求和响应。
- 插件进程:管理页面中使用的外部插件。
- 存储进程:负责浏览器数据的持久化和安全存储。
- 音频进程:处理音频的播放。
- 沙盒进程:隔离渲染和插件进程,提升安全性。
- 扩展进程:管理浏览器扩展程序的运行。
这套架构确保了浏览器的安全、流畅和高效的操作,尤其是在处理复杂的现代 Web 应用时。
GC垃圾回收机制
垃圾回收机制(Garbage Collection,GC) 是编程语言(包括 JavaScript)中的一项自动化内存管理功能,它的主要目的是自动释放那些不再被使用的内存,防止内存泄漏并优化内存的使用效率。在 JavaScript 中,开发者不需要手动管理内存分配和释放,浏览器的 JavaScript 引擎会自动进行内存回收操作。
垃圾回收的基本概念
- 内存分配:在 JavaScript 中,当创建变量、对象、数组、函数等时,JavaScript 引擎会为它们分配内存。这种内存分配是在堆(heap)内存中进行的。
- 内存使用:当执行程序代码时,分配的内存用于存储数据(如对象、数组、函数等),这些数据会被程序访问和操作。
- 内存释放:当程序中不再需要某些数据时(如变量超出作用域),这些内存就应该被释放,以便后续的代码可以重复使用这些内存空间。这是垃圾回收的核心任务。
可达性(Reachability)概念
JavaScript 的垃圾回收机制基于可达性分析。具体的思想是,如果一个对象可以从根(root)出发被访问到,则该对象是可达的,并且不会被回收。相反,如果一个对象不可达,那么它就是“垃圾”,将被回收。
- 根对象:在 JavaScript 中,根对象通常是全局对象(在浏览器中是
window
对象)以及执行栈中的所有局部变量。 - 可达对象:任何从根对象出发、通过引用链能够访问到的对象都是可达的,不会被回收。
- 不可达对象:如果一个对象没有被任何引用,或者它不能从根对象访问到,那么该对象就是不可达的,会被标记为垃圾,最终被垃圾回收器回收。
垃圾回收算法
JavaScript 引擎(如 V8 引擎)使用了多种垃圾回收算法。以下是两种最常见的垃圾回收算法:
标记清除算法(Mark and Sweep)
这是最经典的垃圾回收算法,也是 JavaScript 中最基础的回收机制。它的基本原理是:
- 标记阶段:从根对象出发,遍历所有可以访问到的对象,并做标记。所有被标记的对象都表示它们是可达的。
- 清除阶段:那些没有被标记的对象被认为是不可达的,因此会被垃圾回收器清除,释放它们所占用的内存。
标记清除算法的执行流程如下:
- 垃圾回收器会从根对象(例如全局对象、当前执行上下文中的局部变量等)开始,遍历并标记所有能访问到的对象。
- 之后,垃圾回收器会检查堆中的其他对象,如果某个对象没有被标记,则表示它已经不可达,可以被清除。
- 垃圾回收器会释放这些不可达对象所占用的内存。
优点:
- 实现简单,能够高效地回收不再使用的对象。
缺点:
- 停止-世界(Stop-The-World):在标记清除过程中,JavaScript 的执行会暂停,可能导致应用在某些时候出现短暂的卡顿,特别是在处理大量对象时。
标记整理算法(Mark and Compact)
标记整理算法是标记清除算法的改进版本,解决了标记清除算法可能导致的内存碎片问题。
执行步骤:
- 标记:和标记清除算法一样,从根对象出发,标记所有可达的对象。
- 整理:将所有存活的对象向内存的一端移动,保持内存空间的连续性,避免内存碎片。
- 清除:清除没有被标记的对象,并释放内存。
优点:
- 解决了标记清除算法中可能产生的内存碎片问题,整理后内存更加紧凑。
缺点:
- 相比标记清除算法,移动对象会带来额外的性能开销。
分代回收算法(Generational Garbage Collection)
现代 JavaScript 引擎(如 V8)采用了分代回收算法,这种算法将内存分为不同的“代”,分别管理生命周期不同的对象。通常分为新生代和老生代:
- 新生代:存储生命周期较短的对象(如函数中的局部变量、临时对象等)。这些对象通常很快就会变得不可达,因此垃圾回收器会频繁检查新生代对象。
- From 空间:一个正在使用的内存区域,存放新分配的对象。
- To 空间:另一个备用的内存区域,用于在垃圾回收时存放存活的对象。
- 老生代:老生代用于存储生命周期较长的对象。这些对象通常已经在新生代经过了多次垃圾回收后仍然存活,因此被移动到老生代中。相比新生代,老生代的垃圾回收频率要低得多,但每次回收的成本较高,因为存活的对象较多,回收的时间较长。
工作原理:
- 当一个对象首次分配时,它会被存放在新生代区域。
- 新生代区域的回收操作非常频繁,使用的是复制算法(Scavenge)。即当垃圾回收器运行时,它会将存活的对象复制到一个新的区域,并清除所有未被复制的对象。
- 如果一个对象在新生代区域存活足够长的时间,它会被移到老生代区域,减少其回收频率。
- 老生代区域的垃圾回收使用标记清除或标记整理算法。
优点:
- 对生命周期较短的对象回收效率高,减少整体的垃圾回收开销。
- 避免了频繁回收老生代对象的高成本操作。
常见的内存泄漏场景
尽管 JavaScript 有自动的垃圾回收机制,但在一些情况下,内存泄漏依然会发生。以下是一些常见的内存泄漏场景:
意外的全局变量
如果忘记使用 var
、let
或 const
声明变量,JavaScript 会自动将它添加为全局对象的属性。这些全局变量无法被垃圾回收器释放,导致内存泄漏。
1 | function leak() { |
闭包导致的内存泄漏
JavaScript 的闭包会捕获外部函数的变量。如果不当使用闭包,可能导致外部作用域中的变量无法被释放。
1 | function outer() { |
largeArray
无法被释放,因为它被 inner
函数引用。
DOM 引用未释放
如果 JavaScript 中的变量仍然引用着已经从 DOM 中移除的元素,这些元素将无法被垃圾回收器回收,导致内存泄漏。
1 | let elem = document.getElementById("myElement"); |
事件监听器未清除
当给 DOM 元素添加事件监听器时,如果忘记移除它们,哪怕 DOM 元素已经被移除,监听器的引用仍然存在,导致内存泄漏。
1 | let button = document.getElementById("button"); |
被遗忘的定时器或回调
未清除的定时器或异步回调也会导致内存泄漏。
1 | function leak() { |
即使 leak()
执行完毕,setInterval
仍然会继续运行,占用内存。
垃圾回收的优化建议
减少不必要的全局变量:尽量避免使用全局变量,尤其是存放大量数据的变量。
及时清理不再使用的 DOM 引用:当元素被移除时,确保 JavaScript 中不再保留对这些元素的引用。
正确移除事件监听器:当 DOM 元素不再需要时,使用
removeEventListener
来清除事件监听器。合理使用闭包:尽量避免不必要的闭包引用,防止捕获的外部变量无法被回收。
清理定时器和回调:确保
setInterval
和setTimeout
被及时清理,尤其是页面或组件卸载时。
总结
JavaScript 的垃圾回收机制大大简化了开发者的内存管理工作,但了解其原理和常见的内存泄漏场景,对于编写高效、内存优化的代码是非常重要的。通过避免内存泄漏、正确处理对象引用,可以帮助应用程序在复杂的前端环境中保持良好的性能。
浏览器安全机制
同源策略
同源策略是浏览器最重要的安全机制之一,目的是防止来自不同来源的恶意站点访问和操控用户数据。同源指的是:
- 协议相同(如 HTTP 和 HTTPS)。
- 域名相同。
- 端口号相同。
只有当页面的协议、域名和端口号完全相同时,才能相互访问。否则,浏览器会阻止跨域请求。比如,一个站点 https://example.com
下的脚本不能访问 https://another.com
上的资源。
XSS–跨站脚本攻击
XSS 是一种常见的攻击方式,攻击者通过在网站输入框中注入恶意 JavaScript 脚本,使其在受害者浏览器中执行。浏览器会通过以下方式防护 XSS:
- 内容安全策略(CSP):通过 HTTP 头或
<meta>
标签定义允许网页加载的资源(如脚本、样式等)的来源,限制未授权的脚本执行。通过严格的 CSP 策略,可以有效防止 XSS 攻击。 - 自动编码用户输入:浏览器或服务端在呈现用户输入时自动进行 HTML 编码,防止恶意脚本被注入和执行。
XSRF–跨站请求伪造防护
CSRF 是指攻击者通过伪造用户的请求,冒充用户身份执行操作。为了防止 CSRF,浏览器和服务器通常采取以下措施:
- SameSite Cookie 属性:浏览器引入
SameSite
属性,指定 Cookie 是否应被限制为同源请求。这意味着跨站请求无法携带敏感 Cookie,防止 CSRF 攻击。 - CSRF Token:服务器生成唯一的 token 并嵌入到每个请求中,只有正确的 token 才能执行敏感操作,确保请求来自合法用户。
HTTPS 和 SSL/TLS
浏览器使用 HTTPS 协议来确保数据在传输过程中经过加密,防止被中间人攻击(如窃听、篡改等)。HTTPS 基于 SSL/TLS 协议,为用户提供以下安全性:
- 加密:确保数据传输过程中的机密性,防止敏感数据被窃取。
- 数据完整性:防止数据在传输过程中被篡改。
- 身份验证:确保用户访问的网站是合法的,而不是伪装的恶意网站。
浏览器通过查看服务器提供的 SSL/TLS 证书,验证站点是否可信,用户可以通过浏览器地址栏的锁标识查看网站是否使用 HTTPS。
跨域及解决方法
同源策略的组成部分
- 协议:指的是用于访问资源的协议,如HTTP或HTTPS。只有当两个资源使用相同的协议时,才会被认为是同源的。
- 域名:指的是资源所在的主机名或IP地址。如果两个资源的域名不同,则它们不被视为同源。例如,
example.com
与sub.example.com
是不同的域名。 - 端口:指的是用于访问资源的网络端口。默认情况下,HTTP使用80端口,HTTPS使用443端口。如果两个资源使用不同的端口,即使协议和域名相同,它们也不被视为同源。
CORS(跨域资源共享)
CORS 是一种 W3C 标准,允许服务器声明哪些来源(域、协议、端口)有权限访问它的资源。浏览器会根据服务器返回的响应头决定是否允许客户端跨域请求。服务器通过在响应头中设置 Access-Control-Allow-Origin
来指定允许哪些域访问资源,浏览器根据这个头信息决定是否允许跨域请求。
- 服务器端设置
Access-Control-Allow-Origin
响应头。 - 服务器可以选择允许特定域,或者通过设置
*
来允许所有域进行跨域请求。
使用场景:现代前后端分离的项目中,常用的跨域方案,适用于不同源之间的数据请求。
- 优点:支持多种 HTTP 方法(GET、POST、PUT、DELETE 等),灵活配置。
- 缺点:需要服务器端支持,配置复杂性可能较高,预检请求会增加请求开销。
1 | // 在 Express.js 中设置 CORS |
JSONP(JSON with Padding)
JSONP 是一种传统的跨域解决方案,依赖 <script>
标签的特性。<script>
标签可以跨域加载 JavaScript 文件,JSONP 通过服务器返回包含 JavaScript 函数调用的 JSON 数据来实现跨域。
前端创建一个
<script>
标签,发起请求,并指定回调函数的名称。服务器返回的数据格式为
callback(data)
,其中callback
是前端定义的回调函数。优点:简单易用,兼容性好,支持老式浏览器。
缺点:只支持 GET 请求,不支持 POST、PUT、DELETE 等其他 HTTP 方法,容易受到 XSS 攻击风险。
1 | //客户端 |
服务器
1 | // 假设服务器返回的数据为: handleResponse({"message": "Hello, World!"}) |
服务器代理(Server-Side Proxy)
原理:通过在服务器端设置代理,将跨域请求转发给目标服务器。浏览器对服务器是同源的,而服务器与目标服务器之间没有跨域限制,这样可以实现跨域请求。
- 优点:支持各种 HTTP 方法,可以实现复杂的跨域请求,并且服务器端可以处理更多的逻辑(如缓存、验证)。
- 缺点:需要额外的服务器配置,增加了服务器的工作负担,增加了请求的中间层,可能会增加延迟。
前端请求服务器代理
1 | fetch('/api/proxy?url=http://example.com/api') |
服务器代理实现
1 | const express = require('express'); |
PostMessage(窗口消息传递)
原理: postMessage
是一种安全的跨源通信方式,适用于在不同窗口(如 iframe 或 pop-up 窗口)之间传递消息。通过它可以在父窗口和嵌套的 iframe 之间实现跨域通信。
使用场景: 常用于 iframe 内部与父窗口之间的通信,或跨域窗口之间的数据交换。
父窗口通过
postMessage
发送消息给 iframe。iframe 监听
message
事件,并根据消息内容执行操作。优点:安全、可靠,适合在嵌套页面、不同窗口之间传递消息。
缺点:只能用于页面与页面之间的消息传递,不能直接获取跨域资源。
父窗口
1 | const iframe = document.getElementById('myIframe'); |
iframe页面
1 | window.addEventListener('message', (event) => { |
WebSocket
原理:WebSocket 是一种持久化的全双工通信协议,它在创建连接时只需要通过一次握手(HTTP
),此后就不再受同源策略的限制,可以跨域进行通信。适用于需要实时通信的应用,如聊天室、游戏等。
使用场景:适用于需要实时通信的应用,如即时聊天、在线游戏、股票行情推送等。
- 优点:支持双向通信,适合实时数据传输。
- 缺点:协议较复杂,服务器需要支持 WebSocket,可能涉及额外的配置。
前端
1 | const socket = new WebSocket('ws://example.com/socket'); |
服务器
1 | const WebSocket = require('ws'); |
跨域资源嵌入(Cross-Origin Resource Embedding)
原理:某些 HTML 标签如 <img>
、<script>
、<link>
和 <iframe>
等不受同源策略限制,可以跨域加载资源。
使用场景:用来跨域加载图片、JS 文件、CSS 文件、或者嵌入第三方页面。
- 优点:简单直接,不需要额外配置,可以轻松加载跨域的静态资源。
- 缺点:无法获取资源内容(如
<img>
无法获取图片的二进制数据),不能用于复杂的双向通信。
nginx 反向代理
通过 Nginx 的反向代理功能,可以将请求转发到目标服务器,从而解决跨域问题。与服务器端代理类似,但使用 Nginx 可以减少后端服务的开发负担。
- 配置 Nginx,将来自前端的请求代理到目标服务器。
- Nginx 作为前端和目标服务器的中间层。
1 | server { |
以上配置会将 /api/
前缀的请求代理到 http://targetserver.com/api/
。
优点:
- 性能高效,Nginx 处理大量并发请求非常高效。
- 反向代理和负载均衡可以同时进行。
缺点:
- 需要额外的服务器配置和运维支持。
- 只适合在有 Nginx 服务器的项目中使用。
WebRTC(Web Real-Time Communication)
原理:
WebRTC 是一种点对点的实时通信技术,允许浏览器之间或浏览器与服务器之间进行直接的音视频、数据传输,不需要经过中间服务器。
使用场景:
适用于需要高效的点对点通信场景,如音视频通话、文件传输等。
- 优点:支持高效的点对点通信,适合实时数据传输。
- 缺点:实现较为复杂,涉及网络穿透和信令服务器等问题。
总结
跨域方法 | 原理 | 使用场景 | 优点 | 缺点 |
---|---|---|---|---|
CORS | 通过 Access-Control-Allow-Origin 设置跨域访问控制 |
前后端分离、API 调用 | 支持多种 HTTP 方法,灵活 | 需要服务器配置,预检请求有额外开销 |
JSONP | 利用 <script> 标签跨域加载 JavaScript |
早期 GET 请求的跨域场景 | 简单易用,兼容性好 | 只支持 GET,易受 XSS 攻击 |
服务器代理 | 本地服务器代理请求转发 | 跨域访问第三方 API | 支持各种 HTTP 方法,安全性高 | 需要额外服务器配置,增加服务器负担 |
PostMessage | 使用 window.postMessage 在不同窗口、iframe 之间传递消息 |
iframe 与父页面通信 | 安全可靠,适合页面间数据传递 | 只能用于页面间通信,无法直接获取跨域资源 |
WebSocket | 全双工通信协议,不受同源策略限制 | 实时通信,如聊天、游戏 | 支持双向通信,适合实时数据 | 实现复杂,需服务器支持 |
跨域资源嵌入 | 通过 <img> 、<script> 、<link> 等标签跨域加载静态资源 |
加载静态资源,如图片、JS 文件 | 简单直接 | 无法获取资源内容,不能用于双向通信 |
WebRTC | 通过点对点连接直接传输音视频和数据 | 实时音视频、文件传输 | 高效的点对点通信,适合实时传输 | 实现复杂,涉及网络穿透、信令等问题 |
浏览器相关事件总结
浏览器事件是 JavaScript 与用户和浏览器交互的重要机制。它们根据不同的功能和触发条件分为多种类型,包括页面加载、用户交互、键盘与鼠标事件、剪贴板事件等。
以下是浏览器常见的事件类型及其用途。
页面生命周期事件
DOMContentLoaded
- 触发对象:
document
- 触发时机:当 HTML 被解析完毕,DOM 树构建完成后触发,但不等待图片、CSS 等资源加载。
- 用途:用于确保 DOM 可操作。
1 | document.addEventListener('DOMContentLoaded', () => { |
load
- 触发对象:
window
- 触发时机:当页面所有资源(HTML、CSS、图片等)加载完成后触发。
- 用途:需要等待所有资源加载完毕再执行的逻辑。
1 | window.addEventListener('load', () => { |
beforeunload
- 触发对象:
window
- 触发时机:当用户即将离开页面时触发。
- 用途:提示用户页面未保存的修改,或处理数据。
1
2
3
4window.addEventListener('beforeunload', (event) => {
event.preventDefault();
event.returnValue = ''; // 现代浏览器必须设置 returnValue 以触发提示
});
unload
- 触发对象:
window
- 触发时机:当页面即将卸载时触发。
- 用途:清理资源、记录数据。
1 | window.addEventListener('unload', () => { |
用户交互事件
鼠标事件
click
:鼠标点击dblclick
:双击mousedown
:按下鼠标键mouseup
:释放鼠标键mousemove
:鼠标移动mouseenter
/mouseleave
:鼠标进入/离开元素
1 | document.addEventListener('click', () => { |
键盘事件
keydown
:按下键盘键keypress
:按下字符键(已废弃)keyup
:释放键盘键
1 | document.addEventListener('keydown', (event) => { |
焦点事件
focus
:元素获得焦点blur
:元素失去焦点focusin
/focusout
:与focus
/blur
类似,但支持事件冒泡
1 | const input = document.querySelector('input'); |
剪贴板事件
copy
:复制cut
:剪切paste
:粘贴
1 | document.addEventListener('copy', () => { |
表单事件
submit
:表单提交input
:输入框内容变化change
:表单元素的值改变(如<select>
)
1 | const form = document.querySelector('form'); |
网络与连接事件
online
/ offline
- 触发对象:
window
- 触发时机:当网络连接状态变化时触发。
1 | window.addEventListener('online', () => { |
fetch
事件(Service Worker)
- 触发对象:Service Worker
- 触发时机:捕获网络请求时触发。
1 | self.addEventListener('fetch', (event) => { |
滚动与窗口事件
scroll
- 触发对象:
window
或滚动的元素 - 触发时机:当页面或元素滚动时触发。
1 | window.addEventListener('scroll', () => { |
resize
- 触发对象:
window
- 触发时机:当窗口大小变化时触发。
1 | window.addEventListener('resize', () => { |
IntersectionObserver
IntersectionObserver
是一种 异步 API,用于检测一个元素是否进入视口(Viewport)或与另一个元素相交。它常用于懒加载图片、无限滚动列表、统计曝光率等场景。
IntersectionObserver
是一种高效、非阻塞的 API,可以让我们轻松检测元素是否进入视口,非常适合懒加载、滚动监听、曝光统计等场景。相比传统的事件监听(如 scroll
事件),它具有性能更高、代码更简洁等优点。
1 | const observer = new IntersectionObserver((entries) => { |
MutationObserver
MutationObserver
是一个 浏览器 API,用于监听 DOM 树的变化。当页面的 DOM 元素发生增删、修改或属性变化时,MutationObserver
可以捕获这些变化并执行自定义的回调逻辑。
1 | const observer = new MutationObserver((mutationsList) => { |
进度事件
progress
:下载或上传的进度更新loadstart
:请求开始loadend
:请求结束error
:请求错误
1 | const xhr = new XMLHttpRequest(); |
任务调度事件
- requestIdleCallback:在浏览器空闲时执行回调,用于非关键任务。
- cancelIdleCallback:取消先前通过 requestIdleCallback 请求的任务。
- setTimeout、setInterval:延迟执行代码或按指定间隔重复执行代码。
动画与过渡事件
transitionend
:CSS 过渡结束animationstart
/animationend
/animationiteration
:动画的不同阶段触发requestAnimationFrame
:在浏览器重绘前执行回调函数,用于高效动画绘制。cancelAnimationFrame
:取消先前通过 requestAnimationFrame 请求的动画帧。
1 | const box = document.querySelector('.box'); |
自定义事件
开发者可以自定义事件并在代码中手动触发。
1 | const customEvent = new Event('myCustomEvent'); |
总结
浏览器提供了多种事件,帮助开发者处理页面加载、用户交互、网络请求等场景。
- 页面生命周期事件:
DOMContentLoaded
、load
、beforeunload
- 用户交互事件:
click
、keydown
、focus
- 表单与剪贴板事件:
submit
、input
、copy
- 网络事件:
online
、offline
、fetch
- 滚动与窗口事件:
scroll
、resize
- 动画与进度事件:
transitionend
、progress
- 自定义事件:
new Event()
事件代理
事件委托(Event Delegation)和 事件代理(Event Delegation)实际上是同一个概念,指的是通过父元素来统一处理子元素上的事件。这利用了浏览器的事件冒泡机制,将事件绑定在父元素上,而不是在每个子元素上都单独绑定事件处理器。
- 事件委托的原理:当子元素触发事件时,事件会冒泡到父元素,父元素通过事件处理器捕获事件,并通过事件对象的
target
属性判断是哪一个子元素触发了事件,从而执行相应的逻辑。 - 优点:
- 减少内存占用:不需要为每个子元素单独绑定事件,事件处理器只绑定在父元素上。
- 动态元素处理:即使子元素是动态添加的,父元素的事件处理器依然能够响应,不需要重新绑定事件。
如何实现事件委托
示例:使用事件委托处理多个子元素的点击事件
1 | <template> |
- 事件委托实现:我们在父元素
.parent
上绑定了@click="handleClick"
,而不是在每个.child
子元素上绑定click
事件。通过事件冒泡,父元素的handleClick
方法可以捕获来自子元素的事件。 - 识别子元素:在
handleClick
中,使用event.target
来确定事件的目标元素,通过target.classList.contains('child')
来判断事件是否由子元素触发。
只处理捕获阶段或冒泡阶段的事件
在事件委托中,你可以选择只在捕获阶段或冒泡阶段处理事件。Vue 提供了 .capture
和 默认冒泡行为,我们可以根据需要来控制事件的传播。
只处理捕获阶段的事件
在 Vue 中,如果你只想在捕获阶段处理事件,可以使用 .capture
修饰符:
1 | <template> |
.capture
修饰符:当你在@click
事件后加上.capture
,事件会在捕获阶段触发,而不是在冒泡阶段。这样,在点击子元素时,父元素会在捕获阶段处理事件。
只处理冒泡阶段的事件(默认行为)
Vue 默认的事件绑定是冒泡阶段触发的。如果你不添加 .capture
,事件处理器就会在冒泡阶段执行:
1 | <template> |
- 默认行为:在这个例子中,
@click
会在冒泡阶段触发,因此点击子元素后,事件会冒泡到父元素并在父元素处理器中捕获。
阻止事件传播:阻止冒泡和阻止捕获
阻止事件冒泡
如果你想让事件只在子元素中处理,而不冒泡到父元素,可以使用 event.stopPropagation()
,或 Vue 的 .stop
修饰符。
1 | <template> |
.stop
修饰符:Vue 提供了.stop
修饰符,它相当于在事件处理器中调用event.stopPropagation()
。在这个例子中,点击子元素时只会触发handleChildClick
,不会冒泡到父元素。
4.2 阻止事件捕获
阻止事件捕获相对较少用,但你可以在捕获阶段的事件处理器中调用 event.stopPropagation()
来阻止事件在捕获阶段继续传播。
1 | <template> |
- 在这个例子中,点击子元素时,
handleCaptureClick
会在捕获阶段阻止事件的进一步传播,因此冒泡阶段的事件(handleChildClick
)不会被触发。
5. 结合事件委托、捕获和冒泡的使用场景
- 事件委托:当你有多个子元素需要处理同一类型事件时,使用事件委托可以减少内存开销和代码冗余,将事件处理器统一绑定到父元素上。
- 捕获阶段处理:在某些复杂的场景下,你可能需要在事件传播到子元素之前进行处理。此时,可以使用捕获阶段的事件处理器来提前响应事件。
- 冒泡阶段处理(默认):这是大多数情况下的默认选择,适合一般的事件处理场景。
- 阻止事件传播:通过阻止事件冒泡或捕获,可以精细控制事件传播链,避免不必要的事件触发。
总结
- 事件委托(代理) 是一种优化手段,利用事件冒泡机制将子元素的事件处理统一放在父元素上处理。通过事件委托,可以减少为每个子元素绑定事件处理器的需求,提高性能。
- 捕获阶段处理:使用
.capture
修饰符可以让事件处理器在捕获阶段执行。 - 冒泡阶段处理:Vue 默认在冒泡阶段处理事件,直接使用
@事件名
即可。 - 阻止事件传播:可以通过
.stop
或event.stopPropagation()
来阻止事件冒泡;同样,也可以在捕获阶段调用stopPropagation()
来阻止事件传播。
通过这些机制,你可以灵活地控制事件的传播方式和行为,从而实现更高效、更精细的事件处理。
1. DOMContentLoaded
事件
- 类型:浏览器事件
- 触发对象:
document
- 触发时机:当HTML 文档被完全解析,并且DOM 树构建完成时触发。
- 特点:不需要等待外部资源(如图片、CSS 文件)加载完成。
代码示例:监听 DOMContentLoaded
事件
1 | document.addEventListener('DOMContentLoaded', () => { |
- 用途:确保页面的DOM 结构已经加载完毕,可以安全地操作 DOM 元素,例如给按钮绑定事件监听器。
2. load
事件
- 类型:浏览器事件
- 触发对象:
window
- 触发时机:当页面的所有资源(HTML、CSS、图片、脚本等)加载完成后触发。
- 特点:会在所有资源加载完成后才触发,因此比
DOMContentLoaded
更晚。
代码示例:监听 load
事件
1 | window.addEventListener('load', () => { |
- 用途:适用于依赖外部资源的操作,如计算图片尺寸或执行需要所有资源加载完的逻辑。
3. 两者的事件类型和注册方式
事件 | 触发对象 | 触发时机 | 适用场景 |
---|---|---|---|
DOMContentLoaded |
document |
HTML 完全解析,DOM 树构建完成 | 操作 DOM 元素,无需等待资源加载 |
load |
window |
所有资源(HTML、CSS、图片等)加载完成 | 需要等待页面所有资源的加载,比如图片尺寸 |
4. 是什么类型的事件?
DOMContentLoaded
和 load
都是 浏览器提供的内置事件,属于 页面生命周期事件。它们与浏览器的 事件模型(Event Model) 和 事件循环(Event Loop) 机制密切相关。
事件流中的位置
DOMContentLoaded
和load
是属于冒泡阶段的事件,即它们会从触发对象往上传播。- 捕获和冒泡:你可以在捕获阶段或冒泡阶段监听这些事件。
5. 总结
- 是浏览器的事件:
DOMContentLoaded
和load
都是浏览器提供的事件,用于帮助开发者监听页面加载的不同阶段。 - 两者的区别在于它们的触发时机:
- **
DOMContentLoaded
**:HTML 解析完毕后触发,无需等待资源加载。 - **
load
**:所有资源(包括图片、CSS、脚本)加载完毕后触发。
- **
这些事件是开发者在处理页面加载和初始化逻辑时的重要工具。
GET和POST的请求的区别
GET
和 POST
是 HTTP 协议中两种常见的请求方法,主要用于客户端与服务器之间的数据交换。它们的区别如下:
用途
- GET:用于从服务器获取数据。GET 请求通常用于请求资源或信息,例如获取网页、图像、数据等。
- POST:用于向服务器提交数据。POST 请求通常用于上传数据,提交表单,或者进行需要修改服务器状态的操作。
参数传递方式
- GET:参数通过 URL 传递,附加在请求的 URL 末尾,格式为
?key1=value1&key2=value2
。URL 中的参数可见,长度有限,依赖于浏览器和服务器的限制(一般在 2048 字符以内)。 - POST:参数在 请求体 中传递,不会显示在 URL 中,因此更适合传递较大的数据量或敏感信息(如密码)。POST 请求没有长度限制。
安全性
- GET:不适合传输敏感数据(如密码、信用卡信息),因为参数包含在 URL 中,容易被记录到浏览器历史、日志文件等地方。GET 请求只能使用 HTTPS 来加密数据传输。
- POST:相对更安全一些,因为数据是在请求体中传递,并且不会出现在 URL 中。虽然传输数据本身不加密,但配合 HTTPS 可以提高数据的安全性。
4. 幂等性
- GET:是 幂等 的,也就是说多次执行相同的 GET 请求应该返回相同的结果,不会对服务器上的资源进行修改。因此,GET 通常用于读取数据,而不用于执行对服务器状态有影响的操作。
- POST:不是 幂等 的,每次执行相同的 POST 请求都可能导致服务器的状态发生变化。例如,重复提交表单可能会导致创建多条记录。
5. 浏览器行为
- GET:
- 可以被 缓存(例如网页、图片等可以被浏览器缓存)。
- 可以被 书签 保存,URL 中包含所有必要的信息。
- 浏览器的 回退 操作是安全的,不会引发重复操作。
- POST:
- 不会被浏览器缓存。
- 无法通过 书签 保存,因为数据在请求体中。
- 浏览器的 回退 操作可能会提示重复提交表单。
6. 数据传输大小限制
- GET:数据量较小,因为数据通过 URL 传递,受限于 URL 的长度限制(一般在 2048 字符以内)。
- POST:数据量较大,理论上没有大小限制,实际限制取决于服务器配置。POST 更适合上传文件、大量表单数据等场景。
7. 请求的可见性
- GET:参数附加在 URL 中,因此请求的可见性强,任何人都能看到 URL 中传递的参数。
- POST:参数在请求体中传递,因此相对不可见,且不会显示在地址栏中。
8. 浏览器预取/预请求
- GET:浏览器可以预取 GET 请求(提前请求资源以加快加载速度),但通常不会预取 POST 请求。
总结
特性 | GET | POST |
---|---|---|
用途 | 获取数据 | 提交数据 |
参数传递 | URL(请求头) | 请求体 |
安全性 | 不安全,数据暴露在 URL | 相对安全,数据在请求体中 |
数据大小限制 | 有限制(通常2048字符) | 理论上无限制(受服务器配置限制) |
缓存 | 可以被缓存 | 不会缓存 |
幂等性 | 是幂等的 | 不是幂等的 |
URL 长度 | 有限制 | 无限制 |
适用场景 | 请求资源、查询数据 | 提交表单、上传数据 |
简单来说,GET
主要用于获取资源,数据通过 URL 传递;POST
主要用于提交数据,数据通过请求体传递,并且相对更安全,适合传输较大的数据或敏感信息。
Post 和 Get 是 HTTP 请求的两种方法,其区别如下:
- 应用场景: (GET 请求是一个幂等的请求)一般 Get 请求用于对服务器资源不会产生影响的场景,比如说请求一个网页的资源。(而 Post 不是一个幂等的请求)一般用于对服务器资源会产生影响的情景,比如注册用户这一类的操作。(幂等是指一个请求方法执行多次和仅执行一次的效果完全相同)
- 是否缓存: 因为两者应用场景不同,浏览器一般会对 Get 请求缓存,但很少对 Post 请求缓存。
- 传参方式不同: Get 通过查询字符串传参,Post 通过请求体传参。
- 安全性: Get 请求可以将请求的参数放入 url 中向服务器发送,这样的做法相对于 Post 请求来说是不太安全的,因为请求的 url 会被保留在历史记录中。
- 请求长度: 浏览器由于对 url 长度的限制,所以会影响 get 请求发送数据时的长度。这个限制是浏览器规定的,并不是 RFC 规定的。
- 参数类型: get参数只允许ASCII字符,post 的参数传递支持更多的数据类型(如文件、图片)。
POST和PUT请求的区别
PUT请求是向服务器端发送数据,从而修改数据的内容,但是不会增加数据的种类等,也就是说无论进行多少次PUT操作,其结果并没有不同。(可以理解为时更新数据)
POST请求是向服务器端发送数据,该请求会改变数据的种类等资源,它会创建新的内容。(可以理解为是创建数据)
为什么post请求会发送两次请求?
- 1.第一次请求为
options
预检请求,状态码为:204- 作用:
- 作用1: 询问服务器是否支持修改的请求头,如果服务器支持,则在第二次中发送真正的请求
- 作用2: 检测服务器是否为同源请求,是否支持跨域
- 作用:
- 2.第二次为真正的
post
请求
常见的HTTP请求头和响应头
HTTP Request Header
- Accept:浏览器能够处理的内容类型
- Accept-Charset:浏览器能够显示的字符集
- Accept-Encoding:浏览器能够处理的压缩编码
- Accept-Language:浏览器当前设置的语言
- Connection:浏览器与服务器之间连接的类型
- Cookie:当前页面设置的任何Cookie
- Host:发出请求的页面所在的域
- Referer:发出请求的页面的URL
- User-Agent:浏览器的用户代理字符串
HTTP Responses Header
- Date:表示消息发送的时间,时间的描述格式由rfc822定义
- server:服务器名称
- Connection:浏览器与服务器之间连接的类型
- Cache-Control:控制HTTP缓存
- content-type:表示后面的文档属于什么MIME类型
- access-control-allow-origin:域名
Content-Type
常见的 Content-Type 属性值有以下四种:
(1)application/x-www-form-urlencoded
:浏览器的原生 form 表单,如果不设置 enctype 属性,那么最终就会以 application/x-www-form-urlencoded 方式提交数据。该种方式提交的数据放在 body 里面,数据按照 key1=val1&key2=val2 的方式进行编码,key 和 val 都进行了 URL转码。
(2)multipart/form-data
:该种方式也是一个常见的 POST 提交方式,通常表单上传文件时使用该种方式。
(3)application/json
:服务器消息主体是序列化后的 JSON 字符串。
(4)text/xml
:该种方式主要用来提交 XML 格式的数据。
HTTP状态码304是多好还是少好
为什么会有304
服务器为了提高网站访问速度,对之前访问的部分页面指定缓存机制,当客户端在此对这些页面进行请求,服务器会根据缓存内容判断页面与之前是否相同,若相同便直接返回304,此时客户端调用缓存内容,不必进行二次下载。
状态码304不应该认为是一种错误,而是对客户端有缓存情况下服务端的一种响应。
搜索引擎蜘蛛会更加青睐内容源更新频繁的网站。通过特定时间内对网站抓取返回的状态码来调节对该网站的抓取频次。若网站在一定时间内一直处于304的状态,那么蜘蛛可能会降低对网站的抓取次数。相反,若网站变化的频率非常之快,每次抓取都能获取新内容,那么日积月累,的回访率也会提高。
产生较多304状态码的原因:
- 页面更新周期长或不更新
- 纯静态页面或强制生成静态html
304状态码出现过多会造成以下问题:
- 网站快照停止;
- 收录减少;
- 权重下降。
说说Ajax组成部分
Ajax:全称 Asynchronous Javascript And XML(异步的js与xml)
- 说人话: 用js发送异步的网络请求
- A : Asynchronous 异步
- J:Javascript
- A :And
- X : XML 与 XMLHttpRequest
- XML : 解决跨平台数据传输。
- 在JSON没有出来以前, 网络传输主要以XML格式数据为主。 后来JSON问世,逐渐取代XML。 但是由于ajax技术出来的比json早,因此xml这个称呼一直保留至今
- XML : 解决跨平台数据传输。
请介绍一下XMLHTTPRequest对象
Ajax的核心是XMLHTTPRequest。它是一种支持异步请求的技术。 XMLHTTPRequest使您可以使用JavaScript向服务器提出请求并处理响应,而不阻塞用户。可以在页面加载以后进行页面的局部更新
使用方法
1.实例化ajax对象
2. open() :创建HTTP请求 第一个参数是指定提交方式(post、get) 第二个参数是指定要提交的地址是哪 第三个参数是指定是异步还是同步(true表示异步,false表示同步) 第四和第五参数在HTTP认证的时候会用到。是可选的
3.设置请求头
setRequestHeader(Stringheader,Stringvalue) (使用post方式才会使用到,get方法并不需要调用该方法)
4.发送请求
send(content) :发送请求给服务器 如果是get方式,并不需要填写参数,或填写null 如果是post方式,把要提交的参数写上去
5. 注册回调函数
1 | /* 1.ajax: 在页面不刷新的情况下向服务器请求数据 |
onreadstatechange事件
1 | */ 1. onload事件 : 接收服务器响应的数(一次请求,只会执行一次) |
如何上传文件(上传图片)
1 | /*文件上传思路总结 |
如何自定义上传文件按钮
1 | /*自定义文件上传按钮思路 |
ajax请求如何取消
1. 原生xhr取消请求
1 | var xhr = new XMLHttpRequest(); |
2.axios取消请求
1.使用 CancelToken.source 工厂方法创建 cancel token
1 | const CancelToken = axios.CancelToken; |
2.传递一个 executor 函数到 CancelToken 的构造函数来创建 cancel token
1 | const CancelToken = axios.CancelToken; |
取消ajax请求有什么意义
取消ajax请求的意义
- 已发出的请求可能仍然会到达后端
- 取消后续的回调处理,避免多余的回调处理,以及特殊情况,先发出的后返回,导致回调中的数据错误覆盖
- 取消loading效果,以及该请求的其他交互效果,特别是在单页应用中,A页面跳转到B页面之后,A页面的请求应该取消,否则回调中的一些处理可能影响B页面
- 超时处理,错误处理等都省去了,节约资源
OPTIONS请求方法及使用场景
OPTIONS是除了GET和POST之外的其中一种 HTTP请求方法。(浏览器自动执行)
OPTIONS方法是用于请求获得由Request-URI
标识的资源在请求/响应的通信过程中可以使用的功能选项。通过这个方法,客户端可以在采取具体资源请求之前,决定对该资源采取何种必要措施,或者了解服务器的性能。该请求方法的响应不能缓存。
OPTIONS请求方法的主要用途有两个:
- 获取服务器支持的所有HTTP请求方法;
- 用来检查访问权限。例如:在进行 CORS 跨域资源共享时,对于复杂请求,就是使用 OPTIONS 方法发送嗅探请求,以判断是否有对指定资源的访问权限。
HTTP 1.0 和 HTTP 1.1 之间有哪些区别?
- 连接方面,http1.0 默认使用非持久连接,而 http1.1 默认使用持久连接。http1.1 通过使用持久连接来使多个 http 请求复用同一个 TCP 连接,以此来避免使用非持久连接时每次需要建立连接的时延。
- 资源请求方面,在 http1.0 中,存在一些浪费带宽的现象,例如客户端只是需要某个对象的一部分,而服务器却将整个对象送过来了,并且不支持断点续传功能,http1.1 则在请求头引入了 range 头域,它允许只请求资源的某个部分,即返回码是 206(Partial Content),这样就方便了开发者自由的选择以便于充分利用带宽和连接。
- 缓存方面,在 http1.0 中主要使用 header 里的 If-Modified-Since、Expires 来做为缓存判断的标准,http1.1 则引入了更多的缓存控制策略,例如 Etag、If-Unmodified-Since、If-Match、If-None-Match 等更多可供选择的缓存头来控制缓存策略。
- http1.1 中新增了 host 字段,用来指定服务器的域名。http1.0 中认为每台服务器都绑定一个唯一的 IP 地址,因此,请求消息中的 URL 并没有传递主机名(hostname)。但随着虚拟主机技术的发展,在一台物理服务器上可以存在多个虚拟主机,并且它们共享一个IP地址。因此有了 host 字段,这样就可以将请求发往到同一台服务器上的不同网站。
- http1.1 相对于 http1.0 还新增了很多请求方法,如 PUT、HEAD、OPTIONS 等。
HTTP 1.1 和 HTTP 2.0 的区别
- 二进制协议:HTTP/2 是一个二进制协议。在 HTTP/1.1 版中,报文的头信息必须是文本(ASCII 编码),数据体可以是文本,也可以是二进制。HTTP/2 则是一个彻底的二进制协议,头信息和数据体都是二进制,并且统称为”帧”,可以分为头信息帧和数据帧。 帧的概念是它实现多路复用的基础。
- 多路复用: HTTP/2 实现了多路复用,HTTP/2 仍然复用 TCP 连接,但是在一个连接里,客户端和服务器都可以同时发送多个请求或回应,而且不用按照顺序一一发送,这样就避免了”队头堵塞”【1】的问题。
- 数据流: HTTP/2 使用了数据流的概念,因为 HTTP/2 的数据包是不按顺序发送的,同一个连接里面连续的数据包,可能属于不同的请求。因此,必须要对数据包做标记,指出它属于哪个请求。HTTP/2 将每个请求或回应的所有数据包,称为一个数据流。每个数据流都有一个独一无二的编号。数据包发送时,都必须标记数据流 ID ,用来区分它属于哪个数据流。
- 头信息压缩: HTTP/2 实现了头信息压缩,由于 HTTP 1.1 协议不带状态,每次请求都必须附上所有信息。所以,请求的很多字段都是重复的,比如 Cookie 和 User Agent ,一模一样的内容,每次请求都必须附带,这会浪费很多带宽,也影响速度。HTTP/2 对这一点做了优化,引入了头信息压缩机制。一方面,头信息使用 gzip 或 compress 压缩后再发送;另一方面,客户端和服务器同时维护一张头信息表,所有字段都会存入这个表,生成一个索引号,以后就不发送同样字段了,只发送索引号,这样就能提高速度了。
- 服务器推送: HTTP/2 允许服务器未经请求,主动向客户端发送资源,这叫做服务器推送。使用服务器推送提前给客户端推送必要的资源,这样就可以相对减少一些延迟时间。这里需要注意的是 http2 下服务器主动推送的是静态资源,和 WebSocket 以及使用 SSE 等方式向客户端发送即时数据的推送是不同的。
什么是队头堵塞
队头阻塞是由 HTTP 基本的“请求 - 应答”模型所导致的。HTTP 规定报文必须是“一发一收”,这就形成了一个先进先出的“串行”队列。队列里的请求是没有优先级的,只有入队的先后顺序,排在最前面的请求会被最优先处理。如果队首的请求因为处理的太慢耽误了时间,那么队列里后面的所有请求也不得不跟着一起等待,结果就是其他的请求承担了不应有的时间成本,造成了队头堵塞的现象。
队头阻塞的解决方案
(1)并发连接:对于一个域名允许分配多个长连接,那么相当于增加了任务队列,不至于一个队伍的任务阻塞其它所有任务。 (2)域名分片:将域名分出很多二级域名,它们都指向同样的一台服务器,能够并发的长连接数变多,解决了队头阻塞的问题。
HTTP和HTTPS协议的区别
HTTP和HTTPS协议的主要区别如下:
- HTTPS协议需要CA证书,费用较高;而HTTP协议不需要;
- HTTP协议是超文本传输协议,信息是明文传输的,HTTPS则是具有安全性的SSL加密传输协议;
- 使用不同的连接方式,端口也不同,HTTP协议端口是80,HTTPS协议端口是443;
- HTTP协议连接很简单,是无状态的;HTTPS协议是有SSL和HTTP协议构建的可进行加密传输、身份认证的网络协议,比HTTP更加安全。
GET方法URL长度限制的原因
实际上HTTP协议规范并没有对get方法请求的url长度进行限制,这个限制是特定的浏览器及服务器对它的限制。 IE对URL长度的限制是2083字节(2K+35)。由于IE浏览器对URL长度的允许值是最小的,所以开发过程中,只要URL不超过2083字节,那么在所有浏览器中工作都不会有问题。
1 | GET的长度值 = URL(2083)- (你的Domain+Path)-2(2是get请求中?=两个字符的长度) |
下面看一下主流浏览器对get方法中url的长度限制范围:
- Microsoft Internet Explorer (Browser):IE浏览器对URL的最大限制为2083个字符,如果超过这个数字,提交按钮没有任何反应。
- Firefox (Browser):对于Firefox浏览器URL的长度限制为 65,536 个字符。
- Safari (Browser):URL最大长度限制为 80,000 个字符。
- Opera (Browser):URL最大长度限制为 190,000 个字符。
- Google (chrome):URL最大长度限制为 8182 个字符。
主流的服务器对get方法中url的长度限制范围:
- Apache (Server):能接受最大url长度为8192个字符。
- Microsoft Internet Information Server(IIS):能接受最大url的长度为16384个字符。
根据上面的数据,可以知道,get方法中的URL长度最长不超过2083个字符,这样所有的浏览器和服务器都可能正常工作。
从输入 URL 到页面加载显示完成,这个过程中都发生了什么?
(1)解析URL: 首先会对 URL 进行解析,分析所需要使用的传输协议和请求的资源的路径。如果输入的 URL 中的协议或者主机名不合法,将会把地址栏中输入的内容传递给搜索引擎。如果没有问题,浏览器会检查 URL 中是否出现了非法字符,如果存在非法字符,则对非法字符进行转义后再进行下一过程。
(2)缓存判断: 浏览器会判断所请求的资源是否在缓存里,如果请求的资源在缓存里并且没有失效,那么就直接使用,否则向服务器发起新的请求。
(3)DNS解析: 下一步首先需要获取的是输入的 URL 中的域名的 IP 地址,首先会判断本地是否有该域名的 IP 地址的缓存,如果有则使用,如果没有则向本地 DNS 服务器发起请求。本地 DNS 服务器也会先检查是否存在缓存,如果没有就会先向根域名服务器发起请求,获得负责的顶级域名服务器的地址后,再向顶级域名服务器请求,然后获得负责的权威域名服务器的地址后,再向权威域名服务器发起请求,最终获得域名的 IP 地址后,本地 DNS 服务器再将这个 IP 地址返回给请求的用户。用户向本地 DNS 服务器发起请求属于递归请求,本地 DNS 服务器向各级域名服务器发起请求属于迭代请求。
(4)获取MAC地址(选说) 当浏览器得到 IP 地址后,数据传输还需要知道目的主机 MAC 地址,因为应用层下发数据给传输层,TCP 协议会指定源端口号和目的端口号,然后下发给网络层。网络层会将本机地址作为源地址,获取的 IP 地址作为目的地址。然后将下发给数据链路层,数据链路层的发送需要加入通信双方的 MAC 地址,本机的 MAC 地址作为源 MAC 地址,目的 MAC 地址需要分情况处理。通过将 IP 地址与本机的子网掩码相与,可以判断是否与请求主机在同一个子网里,如果在同一个子网里,可以使用 APR 协议获取到目的主机的 MAC 地址,如果不在一个子网里,那么请求应该转发给网关,由它代为转发,此时同样可以通过 ARP 协议来获取网关的 MAC 地址,此时目的主机的 MAC 地址应该为网关的地址。
(5)TCP三次握手: ,确认客户端与服务器的接收与发送能力,下面是 TCP 建立连接的三次握手的过程,首先客户端向服务器发送一个 SYN 连接请求报文段和一个随机序号,服务端接收到请求后向服务器端发送一个 SYN ACK报文段,确认连接请求,并且也向客户端发送一个随机序号。客户端接收服务器的确认应答后,进入连接建立的状态,同时向服务器也发送一个ACK 确认报文段,服务器端接收到确认后,也进入连接建立状态,此时双方的连接就建立起来了。
(6)HTTPS握手(选说): 如果使用的是 HTTPS 协议,在通信前还存在 TLS 的一个四次握手的过程。首先由客户端向服务器端发送使用的协议的版本号、一个随机数和可以使用的加密方法。服务器端收到后,确认加密的方法,也向客户端发送一个随机数和自己的数字证书。客户端收到后,首先检查数字证书是否有效,如果有效,则再生成一个随机数,并使用证书中的公钥对随机数加密,然后发送给服务器端,并且还会提供一个前面所有内容的 hash 值供服务器端检验。服务器端接收后,使用自己的私钥对数据解密,同时向客户端发送一个前面所有内容的 hash 值供客户端检验。这个时候双方都有了三个随机数,按照之前所约定的加密方法,使用这三个随机数生成一把秘钥,以后双方通信前,就使用这个秘钥对数据进行加密后再传输。
(7)发送HTTP请求
服务器处理请求,返回HTTP报文(响应)(文件)
(8)页面渲染: 浏览器首先会根据 html 文件(响应) 建 DOM 树,根据解析到的 css 文件构建 CSSOM 树,如果遇到 script 标签,则判端是否含有 defer 或者 async 属性,要不然 script 的加载和执行会造成页面的渲染的阻塞。当 DOM 树和 CSSOM 树建立好后,根据它们来构建渲染树。渲染树构建好后,会根据渲染树来进行布局。布局完成后,最后使用浏览器的 UI 接口对页面进行绘制。这个时候整个页面就显示出来了。
(9)TCP四次挥手: 最后一步是 TCP 断开连接的四次挥手过程。若客户端认为数据发送完成,则它需要向服务端发送连接释放请求。服务端收到连接释放请求后,会告诉应用层要释放 TCP 链接。然后会发送 ACK 包,并进入 CLOSE_WAIT 状态,此时表明客户端到服务端的连接已经释放,不再接收客户端发的数据了。但是因为 TCP 连接是双向的,所以服务端仍旧可以发送数据给客户端。服务端如果此时还有没发完的数据会继续发送,完毕后会向客户端发送连接释放请求,然后服务端便进入 LAST-ACK 状态。客户端收到释放请求后,向服务端发送确认应答,此时客户端进入 TIME-WAIT 状态。该状态会持续 2MSL(最大段生存期,指报文段在网络中生存的时间,超时会被抛弃) 时间,若该时间段内没有服务端的重发请求的话,就进入 CLOSED 状态。当服务端收到确认应答后,也便进入 CLOSED 状态。
页面有多张图片,HTTP是怎样的加载表现?
在HTTP 1
下,浏览器对一个域名下最大TCP连接数为6,所以会请求多次。可以用多域名部署解决。这样可以提高同时请求的数目,加快页面图片的获取速度。
在HTTP 2
下,可以一瞬间加载出来很多资源,因为,HTTP2支持多路复用,可以在一个TCP连接中发送多个HTTP请求。
HTTP2的头部压缩算法是怎样的?
HTTP2的头部压缩是HPACK算法。在客户端和服务器两端建立“字典”,用索引号表示重复的字符串,采用哈夫曼编码来压缩整数和字符串,可以达到50%~90%的高压缩率。
具体来说:
- 在客户端和服务器端使用“首部表”来跟踪和存储之前发送的键值对,对于相同的数据,不再通过每次请求和响应发送;
- 首部表在HTTP/2的连接存续期内始终存在,由客户端和服务器共同渐进地更新;
- 每个新的首部键值对要么被追加到当前表的末尾,要么替换表中之前的值。
17. HTTP请求报文的是什么样的?
请求报⽂有4部分组成:
- 请求⾏
- 请求头部
- 空⾏
- 请求体
其中:
(1)请求⾏包括:请求⽅法字段、URL字段、HTTP协议版本字段。它们⽤空格分隔。例如,GET /index.html HTTP/1.1。
(2)请求头部:请求头部由关键字/值对组成,每⾏⼀对,关键字和值⽤英⽂冒号“:”分隔
- User-Agent:产⽣请求的浏览器类型。
- Accept:客户端可识别的内容类型列表。
- Host:请求的主机名,允许多个域名同处⼀个IP地址,即虚拟主机。
(3)请求体: post put等请求携带的数据
18. HTTP响应报文的是什么样的?
请求报⽂有4部分组成:
- 响应⾏:由网络协议版本,状态码和状态码的原因短语组成,例如 HTTP/1.1 200 OK
- 响应头:响应部⾸组成
- 空⾏
- 响应体:服务器响应的数据
19. HTTP协议的优点和缺点
HTTP 是超文本传输协议,它定义了客户端和服务器之间交换报文的格式和方式,默认使用 80 端口。它使用 TCP 作为传输层协议,保证了数据传输的可靠性。
HTTP协议具有以下优点:
- 支持客户端/服务器模式
- 简单快速:客户向服务器请求服务时,只需传送请求方法和路径。由于 HTTP 协议简单,使得 HTTP 服务器的程序规模小,因而通信速度很快。
- 无连接:无连接就是限制每次连接只处理一个请求。服务器处理完客户的请求,并收到客户的应答后,即断开连接,采用这种方式可以节省传输时间。
- 无状态:HTTP 协议是无状态协议,这里的状态是指通信过程的上下文信息。缺少状态意味着如果后续处理需要前面的信息,则它必须重传,这样可能会导致每次连接传送的数据量增大。另一方面,在服务器不需要先前信息时它的应答就比较快。
- 灵活:HTTP 允许传输任意类型的数据对象。正在传输的类型由 Content-Type 加以标记。
HTTP协议具有以下缺点:
- 无状态: HTTP 是一个无状态的协议,HTTP 服务器不会保存关于客户的任何信息。
- 明文传输: 协议中的报文使用的是文本形式,这就直接暴露给外界,不安全。
- 不安全
(1)通信使用明文(不加密),内容可能会被窃听; (2)不验证通信方的身份,因此有可能遭遇伪装; (3)无法证明报文的完整性,所以有可能已遭篡改;
20. 说一下HTTP 3.0
HTTP3.0,也称作HTTP over QUIC。HTTP3.0的核心是QUIC(读音quick)协议,由Google在 2015年提出的SPDY v3演化而来的新协议,传统的HTTP协议是基于传输层TCP的协议,而QUIC是基于传输层UDP上的协议,可以定义成:HTTP3.0基于UDP的安全可靠的HTTP2.0协议。
21. HTTP的两种连接模式
HTTP 协议是基于 TCP/IP,并且使用了请求-应答的通信模式。
HTTP协议有两种连接模式,一种是持续连接,一种非持续连接。 (1)非持续连接指的是服务器必须为每一个请求的对象建立和维护一个全新的连接。 (2)持续连接下,TCP 连接默认不关闭,可以被多个请求复用。采用持续连接的好处是可以避免每次建立 TCP 连接三次握手时所花费的时间。
22. URL有哪些组成部分
以下面的URL为例www.aspxfans.com:8080/news/index?ID=246188#name
从上面的URL可以看出,一个完整的URL包括以下几部分:
- 协议部分:该URL的协议部分为“http:”,这代表网页使用的是HTTP协议。在Internet中可以使用多种协议,如HTTP,FTP等等本例中使用的是HTTP协议。在”HTTP”后面的“//”为分隔符;
- 域名部分:该URL的域名部分为www.aspxfans.com。一个URL中,也可以使用IP地址作为域名使用
- 端口部分:跟在域名后面的是端口,域名和端口之间使用“:”作为分隔符。端口不是一个URL必须的部分,如果省略端口部分,将采用默认端口(HTTP协议默认端口是80,HTTPS协议默认端口是443);
- 虚拟目录部分:从域名后的第一个“/”开始到最后一个“/”为止,是虚拟目录部分。虚拟目录也不是一个URL必须的部分。本例中的虚拟目录是“/news/”;
- 文件名部分:从域名后的最后一个“/”开始到“?”为止,是文件名部分,如果没有“?”,则是从域名后的最后一个“/”开始到“#”为止,是文件部分,如果没有“?”和“#”,那么从域名后的最后一个“/”开始到结束,都是文件名部分。本例中的文件名是“index.asp”。文件名部分也不是一个URL必须的部分,如果省略该部分,则使用默认的文件名;
- 锚部分:从“#”开始到最后,都是锚部分。本例中的锚部分是“name”。锚部分也不是一个URL必须的部分;
- 参数部分:从“?”开始到“#”为止之间的部分为参数部分,又称搜索部分、查询部分。本例中的参数部分为“boardID=5&ID=24618&page=1”。参数可以允许有多个参数,参数与参数之间用“&”作为分隔符。
23.与缓存相关的HTTP请求头有哪些
强缓存:
- Expires
- Cache-Control
协商缓存:
- Etag、If-None-Match
- Last-Modified、If-Modified-Since
强缓存和协商缓存
1.强缓存: 不会向服务器发送请求,直接从缓存中读取资源,在chrome控制台的Network选项中可以看到该请求返回200的状态码,并且size显示from disk cache或from memory cache两种(灰色表示缓存)。
2.协商缓存: 向服务器发送请求,服务器会根据这个请求的request header的一些参数来判断是否命中协商缓存,如果命中,则返回304状态码并带上新的response header通知浏览器从缓存中读取资源;
共同点:都是从客户端缓存中读取资源; 区别是强缓存不会发请求,协商缓存会发请求。
HTTP的keep-alive有什么作用?
http1.0默认关闭,需要手动开启。http1.1后默认开启
作用: 使客户端到服务器端的链接持续有效(长连接),当出现对服务器的后续请求时,keep-Alive功能避免了建立或者重新建立链接。
使用方法: 在请求头中加上Connection:keep-alive。
优点:
- 较少的CPU和内存的占用(因为要打开的连接数变少了,复用了连接)
- 减少了后续请求的延迟(无需再进行握手)
缺点: 本来可以释放的资源仍旧被占用。有的请求已经结束了,但是还一直连接着。
解决方法: 服务器设置过期时间和请求次数,超过这个时间或者次数就断掉连接。
OSI的七层模型是什么?
ISO于1978年开发的一套标准架构ISO模型,被引用来说明数据通信协议的结构和功能。
OSI在功能上可以划分为两组:
网络群组:物理层、数据链路层、网络层
使用者群组:传输层、会话层、表示层、应用层
OSI 七层网络模型 |
TCP/IP 四层概念模型 |
对应网络协议 |
---|---|---|
7:应用层 | 应用层 | HTTP 、RTSP TFTP(简单文本传输协议)、 FTP、 NFS(数域筛法,数据加密)、 WAIS`(广域信息查询系统) |
6:表示层 | 应用层 | Telnet (internet远程登陆服务的标准协议)、Rlogin 、SNMP (网络管理协议)、Gopher |
5:会话层 | 应用层 | SMTP (简单邮件传输协议)、DNS (域名系统) |
4:传输层 | 传输层 | TCP (传输控制协议)、UDP (用户数据报协议)) |
3:网络层 | 网际层 | ARP (地域解析协议)、RARP 、AKP 、UUCP (Unix to Unix copy) |
2:数据链路层 | 数据链路层 | FDDI (光纤分布式数据接口)、Ethernet、Arpanet、PDN (公用数据网)、SLIP (串行线路网际协议)PPP (点对点协议,通过拨号或专线方建立点对点连接发送数据) |
1:物理层 | 物理层 | SMTP (简单邮件传输协议)、DNS (域名系统) |
其中高层(7、6、5、4层)定义了应用程序的功能,下面三层(3、2、1层)主要面向通过网络的端到端的数据流
什么是HTTPS协议?
超文本传输安全协议
(Hypertext Transfer Protocol Secure,简称:HTTPS)是一种通过计算机网络进行安全通信的传输协议。HTTPS经由HTTP进行通信,利用SSL/TLS来加密数据包。 HTTPS的主要目的是提供对网站服务器的身份认证,保护交换数据的隐私与完整性。 HTTP协议采用明文传输信息,存在信息窃听、信息篡改和信息劫持的风险,而协议TLS/SSL具有身份验证、信息加密和完整性校验的功能,可以避免此类问题发生。
安全层的主要职责就是对发起的HTTP请求的数据进行加密操作 和 对接收到的HTTP的内容进行解密操作。
TLS/SSL的工作原理
TLS全称安全传输层协议(Transport Layer Security)及其前身安全套接层(Secure Sockets Layer,缩写作SSL) 是介于TCP和HTTP之间的一层安全协议,不影响原有的TCP协议和HTTP协议,所以使用HTTPS基本上不需要对HTTP页面进行太多的改造。
TLS/SSL的功能实现主要依赖三类基本算法:散列函数hash、对称加密、非对称加密。这三类算法的作用如下:
- 散列算法用来验证信息的完整性
- 对称加密算法采用协商的秘钥对数据加密
- 非对称加密实现身份认证和秘钥协商
对称加密、非对称加密是什么,有什么区别?
对称加密和非对称加密是安全传输层里的加密算法
对称加密
对称加密的特点是文件加密和解密使用相同的密钥,即加密密钥也可以用作解密密钥,
这种方法在密码学中叫做对称加密算法,对称加密算法使用起来简单快捷,密钥较短,且破译困难
通信的双⽅都使⽤同⼀个秘钥进⾏加密, 解密。 ⽐如,两个人事先约定的暗号,就属于对称加密。
**优点:**计算量小、加密速度快、加密效率高。
**缺点:**在数据传送前,发送方和接收方必须商定好秘钥,然后双方保存好秘钥。如果一方的秘钥被泄露,那么加密信息也就不安全了。
最不安全的地方, 就在于第一开始, 互相约定密钥的时候!!! 传递密钥!
使用场景:本地数据加密、https 通信、网络传输等
非对称加密
通信的双方使用不同的秘钥进行加密解密,即秘钥对(私钥 + 公钥)。
特征: 私钥可以解密公钥加密的内容, 公钥可以解密私钥加密的内容
非对称加密的特点是:
- 优点:非对称加密与对称加密相比其安全性更好
- 缺点:加密和解密花费时间长、速度慢,只适合对少量数据进行加密。
使用场景:https 会话前期、CA 数字证书、信息加密、登录认证等
数字证书是什么?
使用一种 Hash 算法来对公钥和其他信息进行加密,生成一个信息摘要,然后让有公信力的认证中心(简称 CA )用它的私钥对消息摘要加密,形成签名。最后将原始的信息和签名合在一起,称为数字证书。当接收方收到数字证书的时候,先根据原始信息使用同样的 Hash 算法生成一个摘要,然后使用公证处的公钥来对数字证书中的摘要进行解密,最后将解密的摘要和生成的摘要进行对比,就能发现得到的信息是否被更改了。
数字证书的作用
现在的方法也不一定是安全的,因为没有办法确定得到的公钥就一定是安全的公钥。可能存在一个中间人,截取了对方发给我们的公钥,然后将他自己的公钥发送给我们,当我们使用他的公钥加密后发送的信息,就可以被他用自己的私钥解密。然后他伪装成我们以同样的方法向对方发送信息,这样我们的信息就被窃取了,然而自己还不知道。为了解决这样的问题,可以使用数字证书。
数字签名是什么?
数字签名就是先用CA自带的Hash算法来计算出证书内容的一个摘要,然后使用CA私钥进行加密,组成数字签名。
当别人把他的数字证书发过来时,接收方用同样的算法再次生成摘要,用CA公钥解密后得到CA生成的摘要,两者进行对比后,就能确定中间是否被人篡改。这样就能最大程度的保证通信的安全了。
HTTPS通信(握手)过程–三次握手
HTTPS的通信过程如下:
- 客户端向服务器发起请求,请求中包含使用的协议版本号、生成的一个随机数、以及客户端支持的加密方法。
- 服务器端接收到请求后,确认双方使用的加密方法、并给出服务器的证书、以及一个服务器生成的随机数。
- 客户端确认服务器证书有效后,生成一个新的随机数,并使用数字证书中的公钥,加密这个随机数,然后发给服 务器。并且还会提供一个前面所有内容的 hash 的值,用来供服务器检验。
- 服务器使用自己的私钥,来解密客户端发送过来的随机数。并提供前面所有内容的 hash 值来供客户端检验。
- 客户端和服务器端根据约定的加密方法使用前面的三个随机数,生成对话秘钥,以后的对话过程都使用这个秘钥来加密信息。
HTTPS的优缺点
HTTPS的优点如下:
- 使用HTTPS协议可以认证用户和服务器,确保数据发送到正确的客户端和服务器;
- 使用HTTPS协议可以进行加密传输、身份认证,通信更加安全,防止数据在传输过程中被窃取、修改,确保数据安全性;
- HTTPS是现行架构下最安全的解决方案,虽然不是绝对的安全,但是大幅增加了中间人攻击的成本;
HTTPS的缺点如下:
- HTTPS需要做服务器和客户端双方的加密个解密处理,耗费更多服务器资源,过程复杂;
- HTTPS协议握手阶段比较费时,增加页面的加载时间;
- SSL证书是收费的,功能越强大的证书费用越高;
- HTTPS连接服务器端资源占用高很多,支持访客稍多的网站需要投入更大的成本;
- SSL证书需要绑定IP,不能再同一个IP上绑定多个域名。
HTTPS是如何保证安全的?
结合对称加密和非对称加密两种加密⽅式,将对称加密的密钥使⽤⾮对称加密的公钥进⾏加密,然后发送出去,接收⽅使⽤私钥进⾏解密得到对称加密的密钥,然后双⽅可以使⽤对称加密来进⾏沟通。
这个时候还需要⼀个安全的第三⽅颁发证书(CA),证明身份的身份,防⽌被中间⼈攻击。
为了防止中间人篡改证书,需要用到数字签名这个技术
数字签名就是⽤CA⾃带的HASH算法对证书的内容进⾏HASH得到⼀个摘要,再⽤CA的私钥加密,最终组成数字签名。当别⼈把他的证书发过来的时候,我再⽤同样的Hash算法,再次⽣成消息摘要,然后⽤CA的公钥对数字签名解密,得到CA创建的消息摘要,两者⼀⽐,就知道中间有没有被⼈篡改了。这个时候就能最⼤程度保证通信的安全了。
HTTP状态码分别代表什么意思?
类别 | 原因 | 描述 |
---|---|---|
1xx | Informational(信息性状态码) | 接受的请求正在处理 |
2xx | Success(成功状态码) | 请求正常处理完毕 |
3xx | Redirection(重定向状态码) | 需要进行附加操作一完成请求 |
4xx | Client Error (客户端错误状态码) | 服务器无法处理请求 |
5xx | Server Error(服务器错误状态码) | 服务器处理请求出错 |
2XX 成功
- 200 OK,表示从客户端发来的请求在服务器端被正确处理
- 201 Created 请求已经被实现,而且有一个新的资源已经依据请求的需要而建立。通常是在POST请求,或者是某些PUT请求之后创建了内容,进行的返回的响应。
- 202 Accepted 请求服务器已接受,但是尚未处理,不保证完成请求。适合异步任务或者说需要处理时间比较长的请求,避免HTTP链接一直占用。
- 204 No content,表示请求成功,但响应报文不含实体的主体部分
- 205 Reset Content,表示请求成功,但响应报文不含实体的主体部分,但是与 204 响应不同在于要求请求方重置内容
- 206 Partial Content,进行的是范围请求,表示服务器已经成功处理了部分GET请求,响应头中会包含获取的内容范围(常用于分段下载)
3XX 重定向
- 301 moved permanently,永久性重定向,表示资源已被分配了新的 URL
- 302 found,临时性重定向,表示资源临时被分配了新的 URL,支持搜索引擎优化
- 303 see other,表示资源存在着另一个 URL,应使用 GET 方法获取资源
- 304 not modified,自从上次请求后,请求的网页内容未修改过。服务器返回此响应时,不会返回网页内容。(协商缓存)
- 307 temporary redirect,临时重定向,和302含义类似,但是期望客户端保持请求方法不变向新的地址发出请求
4XX 客户端错误
- 400 bad request,请求报文存在语法错误(传参格式不正确)
- 401 unauthorized,表示发送的请求需要有通过 HTTP 认证的认证信息(没有权限)
- 403 forbidden,表示对请求资源的访问被服务器拒绝
- 404 not found,表示在服务器上没有找到请求的资源
- 408 Request Timeout 客户端请求超时
- 409 Confict 请求的资源可能引起冲突
5XX 服务器错误
- 500 internal sever error,表示服务器端在执行请求时发生了错误
- 501 Not Implemented,表示服务器不支持当前请求所需要的某个功能
- 503 service unavailable,表明服务器暂时处于超负载或正在停机维护,无法处理请求
同样是重定向,307,303,302的区别?
302是http1.0的协议状态码,在http1.1版本的时候为了细化302状态码⼜出来了两个303和307。
303明确表示客户端应当采⽤get⽅法获取资源,他会把POST请求变为GET请求进⾏重定向。
307会遵照浏览器标准,不会从post变为get。
DNS 协议是什么
概念: DNS 是域名系统 (Domain Name System) 的缩写,提供的是一种主机名到 IP 地址的转换服务,就是我们常说的域名系统。它是一个由分层的 DNS 服务器组成的分布式数据库,是定义了主机如何查询这个分布式数据库的方式的应用层协议。能够使人更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。
作用: 将域名解析为IP地址,客户端向DNS服务器(DNS服务器有自己的IP地址)发送域名查询请求,DNS服务器告知客户机Web服务器的 IP 地址。
11. DNS完整的查询过程
DNS服务器解析域名的过程:
- 首先会在浏览器的缓存中查找对应的IP地址,如果查找到直接返回,若找不到继续下一步
- 将请求发送给本地DNS服务器,在本地域名服务器缓存中查询,如果查找到,就直接将查找结果返回,若找不到继续下一步
- 本地DNS服务器向根域名服务器发送请求,根域名服务器会返回一个所查询域的顶级域名服务器地址
- 本地DNS服务器向顶级域名服务器发送请求,接受请求的服务器查询自己的缓存,如果有记录,就返回查询结果,如果没有就返回相关的下一级的权威域名服务器的地址
- 本地DNS服务器向权威域名服务器发送请求,域名服务器返回对应的结果
- 本地DNS服务器将返回结果保存在缓存中,便于下次使用
- 本地DNS服务器将返回结果返回给浏览器
简述一下TCP的三次握手
第一次握手: 客户端向服务端发送连接请求报文段。该报文段中包含自身的数据通讯初始序号。请求发送后,客户端便进入 SYN-SENT 状态。
第二次握手: 服务端收到连接请求报文段后,如果同意连接,则会发送一个应答,该应答中也会包含自身的数据通讯初始序号,发送完成后便进入 SYN-RECEIVED 状态。
第三次握手: 当客户端收到连接同意的应答后,还要向服务端发送一个确认报文。客户端发完这个报文段后便进入 ESTABLISHED 状态,服务端收到这个应答后也进入 ESTABLISHED 状态,此时连接建立成功。
TCP什么要三次握手呢?两次不行吗?
- 为了确认双方的接收能力和发送能力都正常
- 如果是用两次握手,则会出现下面这种情况:
如客户端发出连接请求,但因连接请求报文丢失而未收到确认,于是客户端再重传一次连接请求。后来收到了确认,建立了连接。数据传输完毕后,就释放了连接,客户端共发出了两个连接请求报文段,其中第一个丢失,第二个到达了服务端,但是第一个丢失的报文段只是在某些网络结点长时间滞留了,延误到连接释放以后的某个时间才到达服务端,此时服务端误认为客户端又发出一次新的连接请求,于是就向客户端发出确认报文段,同意建立连接,不采用三次握手,只要服务端发出确认,就建立新的连接了,此时客户端忽略服务端发来的确认,也不发送数据,则服务端一致等待客户端发送数据,浪费资源。
简述一下TCP的四次挥手
第一次挥手: 若客户端认为数据发送完成,则它需要向服务端发送连接释放请求。
第二次挥手:服务端收到连接释放请求后,会告诉应用层要释放 TCP 链接。然后会发送 ACK 包,并进入 CLOSE_WAIT 状态,此时表明客户端到服务端的连接已经释放,不再接收客户端发的数据了。但是因为 TCP 连接是双向的,所以服务端仍旧可以发送数据给客户端。
第三次挥手:服务端如果此时还有没发完的数据会继续发送,完毕后会向客户端发送连接释放请求,然后服务端便进入 LAST-ACK 状态。
第四次挥手: 客户端收到释放请求后,向服务端发送确认应答,此时客户端进入 TIME-WAIT 状态。该状态会持续 2MSL(最大段生存期,指报文段在网络中生存的时间,超时会被抛弃) 时间,若该时间段内没有服务端的重发请求的话,就进入 CLOSED 状态。当服务端收到确认应答后,也便进入 CLOSED 状态。
TCP为什么需要四次挥手呢?
因为当服务端收到客户端的SYN连接请求报文后,可以直接发送SYN+ACK报文。其中ACK报文是用来应答的,SYN报文是用来同步的。但是关闭连接时,当服务端收到FIN报文时,很可能并不会立即关闭SOCKET,所以只能先回复一个ACK报文,告诉客户端,“你发的FIN报文我收到了”。只有等到我服务端所有的报文都发送完了,我才能发送FIN报文,因此不能一起发送,故需要四次挥手。
TCP粘包是怎么回事,如何处理?
默认情况下, TCP 连接会启⽤延迟传送算法 (Nagle 算法), 在数据发送之前缓存他们. 如果短时间有多个数据发送, 会缓冲到⼀起作⼀次发送 (缓冲⼤⼩⻅ socket.bufferSize ), 这样可以减少 IO 消耗提⾼性能.
如果是传输⽂件的话, 那么根本不⽤处理粘包的问题, 来⼀个包拼⼀个包就好了。但是如果是多条消息, 或者是别的⽤途的数据那么就需要处理粘包.
⽽对于处理粘包的问题, 常⻅的解决⽅案有:
多次发送之前间隔⼀个等待时间:只需要等上⼀段时间再进⾏下⼀次 send 就好, 适⽤于交互频率特别低的场景. 缺点也很明显, 对于⽐较频繁的场景⽽⾔传输效率实在太低,不过⼏乎不⽤做什么处理.
关闭 Nagle 算法:关闭 Nagle 算法, 在 Node.js 中你可以通过 socket.setNoDelay() ⽅法来关闭 Nagle 算法, 让每⼀次 send 都不缓冲直接发送。该⽅法⽐较适⽤于每次发送的数据都⽐较⼤ (但不是⽂件那么⼤), 并且频率不是特别⾼的场景。如果是每次发送的数据量⽐较⼩, 并且频率特别⾼的, 关闭 Nagle 纯属⾃废武功。另外, 该⽅法不适⽤于⽹络较差的情况, 因为 Nagle 算法是在服务端进⾏的包合并情况, 但是如果短时间内客户端的⽹络情况不好, 或者应⽤层由于某些原因不能及时将 TCP 的数据 recv, 就会造成多个包在客户端缓冲从⽽粘包的情况。 (如果是在稳定的机房内部通信那么这个概率是⽐较⼩可以选择忽略的)
进⾏封包/拆包: 封包/拆包是⽬前业内常⻅的解决⽅案了。即给每个数据包在发送之前, 于其前/后放⼀些有特征的数据, 然后收到数据的时 候根据特征数据分割出来各个数据包。
token是什么?
token也可以称做令牌,一般由
uid+time+sign(签名)+[固定参数]
组成1
2
3
4
5uid: 用户唯一身份标识
time: 当前时间的时间戳
sign: 签名, 使用 hash/encrypt 压缩成定长的十六进制字符串,以防止第三方恶意拼接
固定参数(可选): 将一些常用的固定参数加入到 token 中是为了避免重复查库token在客户端一般存放于localStorage,cookie,或sessionStorage中。在服务器一般存于数据库中
token 的认证流程
1
2
3
4
5用户登录,成功后服务器返回Token给客户端。
客户端收到数据后保存在客户端
客户端再次访问服务器,将token放入headers中 或者每次的请求 参数中
服务器端采用filter过滤器校验。校验成功则返回请求数据,校验失败则返回错误码token可以抵抗csrf,cookie+session不行
session时有状态的,一般存于服务器内存或硬盘中,当服务器采用分布式或集群时,session就会面对负载均衡问题。负载均衡多服务器的情况,不好确认当前用户是否登录,因为多服务器不共享session
客户端登陆传递信息给服务端,服务端收到后把用户信息加密(token)传给客户端,客户端将token存放于localStroage等容器中。客户端每次访问都传递token,服务端解密token,就知道这个用户是谁了。通过cpu加解密,服务端就不需要存储session占用存储空间,就很好的解决负载均衡多服务器的问题了。这个方法叫做JWT(Json Web Token)
token是怎么加密的
- 需要一个secret(随机数)
- 后端利用secret和加密算法(如:HMAC-SHA256)对payload(如账号密码)生成一个字符串(token),返回前端
- 前端每次request在header中带上token
- 后端用同样的算法解密
cookie和token都放在header中,为什么会劫持cookie,不会劫持token
- cookie: 登陆后后端生成一个sessionid放在cookie中返回给客户端, 并且服务端一直记录着这个 sessionid, 客户端以后每次请求都会带上这个sessionid, 服务端通过这个sessionid来验证身份之类的操作。所以别人拿到了cookie就相当于拿到了sessionid ,就可以完全替代你。同时浏览器会自动携带cookie
- token: 同样是登录后服务端返回一个token,客户端保存起来,在以后http请求里手动的加入到请求头里,服务端根据token 进行身份的校验。浏览器不会自动携带token,所以不会劫持 token。
token过期后,页面如何实现无感刷新?
什么是无感刷新
后台返回的token是有时效性的,时间到了,你在交互后台的时候,后台会判断你的token是否过期(安全需要),如果过期了就会逼迫你重新登陆!
token无感刷新其本质是为了优化用户体验,当token过期时不需要用户跳回登录页重新登录,而是当token失效时,进行拦截,发送刷新token的ajax,获取最新的token进行覆盖,让用户感受不到token已经过期
实现无感刷新
1、后端返回过期时间,前端判断token过期时间,去调用刷新token接口。
缺点:需要后端额外提供一个Token过期时间的字段;使用了本地时间判断,若本地时间篡改,特别是本地时间比服务器时间慢时,拦截会失败。
2、写个定时器,定时刷新Token接口。缺点:浪费资源,消耗性能,不建议采用。
3、在响应拦截器中拦截,判断Token 返回过期后,调用刷新token接口。
介绍下304过程
- a. 浏览器请求资源时首先命中资源的Expires 和 Cache-Control,Expires 受限于本地时间,如果修改了本地时间,可能会造成缓存失效,可以通过Cache-control: max-age指定最大生命周期,状态仍然返回200,但不会请求数据,在浏览器中能明显看到from cache字样。
- b. 强缓存失效,进入协商缓存阶段,首先验证ETagETag可以保证每一个资源是唯一的,资源变化都会导致ETag变化。服务器根据客户端上送的If-None-Match值来判断是否命中缓存。
- c. 协商缓存Last-Modify/If-Modify-Since阶段,客户端第一次请求资源时,服务服返回的header中会加上Last-Modify,Last-modify是一个时间标识该资源的最后修改时间。再次请求该资源时,request的请求头中会包含If-Modify-Since,该值为缓存之前返回的Last-Modify。服务器收到If-Modify-Since后,根据资源的最后修改时间判断是否命中缓存
浏览器安全
有哪些可能引起前端安全的问题?
- 跨站脚本 (Cross-Site Scripting, XSS): ⼀种代码注⼊⽅式, 为了与 CSS 区分所以被称作 XSS。早期常⻅于⽹络论坛, 起因是⽹站没有对⽤户的输⼊进⾏严格的限制, 使得攻击者可以将脚本上传到帖⼦让其他⼈浏览到有恶意脚本的⻚⾯, 其注⼊⽅式很简单包括但不限于 JavaScript / CSS / Flash 等;
- iframe的滥⽤: iframe中的内容是由第三⽅来提供的,默认情况下他们不受控制,他们可以在iframe中运⾏JavaScirpt脚本、Flash插件、弹出对话框等等,这可能会破坏前端⽤户体验;
- 跨站点请求伪造(Cross-Site Request Forgeries,CSRF): 指攻击者通过设置好的陷阱,强制对已完成认证的⽤户进⾏⾮预期的个⼈信息或设定信息等某些状态更新,属于被动攻击
- 恶意第三⽅库: ⽆论是后端服务器应⽤还是前端应⽤开发,绝⼤多数时候都是在借助开发框架和各种类库进⾏快速开发,⼀旦第三⽅库被植⼊恶意代码很容易引起安全问题。
网络劫持有哪几种,如何防范?
⽹络劫持分为两种:
(1)DNS劫持: (输⼊京东被强制跳转到淘宝这就属于dns劫持)
- DNS强制解析: 通过修改运营商的本地DNS记录,来引导⽤户流量到缓存服务器
- 302跳转的⽅式: 通过监控⽹络出⼝的流量,分析判断哪些内容是可以进⾏劫持处理的,再对劫持的内存发起302跳转的回复,引导⽤户获取内容
(2)HTTP劫持: (访问⾕歌但是⼀直有贪玩蓝⽉的⼴告),由于http明⽂传输,运营商会修改你的http响应内容(即加⼴告)
DNS劫持由于涉嫌违法,已经被监管起来,现在很少会有DNS劫持,⽽http劫持依然⾮常盛⾏,最有效的办法就是全站HTTPS,将HTTP加密,这使得运营商⽆法获取明⽂,就⽆法劫持你的响应内容。
进程与线程的概念
从本质上说,进程和线程都是 CPU 工作时间片的一个描述:
- 进程描述了 CPU 在运行指令及加载和保存上下文所需的时间,放在应用上来说就代表了一个程序。
- 线程是进程中的更小单位,描述了执行一段指令所需的时间。
进程是资源分配的最小单位,线程是CPU调度的最小单位。
进程和线程的区别
- 进程可以看做独立应用,线程不能
- 资源:进程是cpu资源分配的最小单位(是能拥有资源和独立运行的最小单位);线程是cpu调度的最小单位(线程是建立在进程的基础上的一次程序运行单位,一个进程中可以有多个线程)。
- 通信方面:线程间可以通过直接共享同一进程中的资源,而进程通信需要借助 进程间通信。
- 调度:进程切换比线程切换的开销要大。线程是CPU调度的基本单位,线程的切换不会引起进程切换,但某个进程中的线程切换到另一个进程中的线程时,会引起进程切换。
- 系统开销:由于创建或撤销进程时,系统都要为之分配或回收资源,如内存、I/O 等,其开销远大于创建或撤销线程时的开销。同理,在进行进程切换时,涉及当前执行进程 CPU 环境还有各种各样状态的保存及新调度进程状态的设置,而线程切换时只需保存和设置少量寄存器内容,开销较小。
如何实现浏览器内多个标签页之间的通信?
实现多个标签页之间的通信,本质上都是通过中介者模式来实现的。因为标签页之间没有办法直接通信,因此我们可以找一个中介者,让标签页和中介者进行通信,然后让这个中介者来进行消息的转发。通信方法如下:
- 使用 websocket 协议,因为 websocket 协议可以实现服务器推送,所以服务器就可以用来当做这个中介者。标签页通过向服务器发送数据,然后由服务器向其他标签页推送转发。
- 使用 ShareWorker 的方式,shareWorker 会在页面存在的生命周期内创建一个唯一的线程,并且开启多个页面也只会使用同一个线程。这个时候共享线程就可以充当中介者的角色。标签页间通过共享一个线程,然后通过这个共享的线程来实现数据的交换。
- 使用 localStorage 的方式,我们可以在一个标签页对 localStorage 的变化事件进行监听,然后当另一个标签页修改数据的时候,我们就可以通过这个监听事件来获取到数据。这个时候 localStorage 对象就是充当的中介者的角色。
- 使用 postMessage 方法,如果我们能够获得对应标签页的引用,就可以使用postMessage 方法,进行通信。
6. 为什么需要浏览器缓存?
对于浏览器的缓存,主要针对的是前端的静态资源,在发起请求之后,拉取相应的静态资源,并保存在本地。如果服务器的静态资源没有更新,那么在下次请求的时候,就直接从本地读取即可,如果服务器的静态资源已经更新,那么我们再次请求的时候,就到服务器拉取新的资源,并保存在本地。这样就大大的减少了请求的次数,提高了网站的性能。这就要用到浏览器的缓存策略了。
所谓的浏览器缓存指的是浏览器将用户请求过的静态资源,存储到电脑本地磁盘中,当浏览器再次访问时,就可以直接从本地加载,不需要再去服务端请求了。
浏览器缓存的优点
使用浏览器缓存,有以下优点:
- 减少了服务器的负担,提高了网站的性能
- 加快了客户端网页的加载速度
- 减少了多余网络数据传输
点击刷新按钮或者按 F5、按 Ctrl+F5 (强制刷新)、地址栏回车有什么区别?
- 点击刷新按钮或者按 F5: 浏览器直接对本地的缓存文件过期,但是会带上If-Modifed-Since,If-None-Match,这就意味着服务器会对文件检查新鲜度,返回结果可能是 304,也有可能是 200。
- 用户按 Ctrl+F5(强制刷新): 浏览器不仅会对本地文件过期,而且不会带上 If-Modifed-Since,If-None-Match,相当于之前从来没有请求过,返回结果是 200。
- 地址栏回车: 浏览器发起请求,按照正常流程,本地检查是否过期,然后服务器检查新鲜度,最后返回内容。
浏览器渲染过程中遇到 JS 文件如何处理?
JavaScript 的加载、解析与执行会阻塞文档的解析,也就是说,在构建 DOM 时,HTML 解析器若遇到了 JavaScript,那么它会暂停文档的解析,将控制权移交给 JavaScript 引擎,等 JavaScript 引擎运行完毕,浏览器再从中断的地方恢复继续解析文档。
也就是说,如果想要首屏渲染的越快,就越不应该在首屏就加载 JS 文件,这也是都建议将 script 标签放在 body 标签底部的原因。当然在当下,并不是说 script 标签必须放在底部,因为你可以给 script 标签添加 defer
或者 async
属性。
什么是文档的预解析?
Webkit 和 Firefox 都做了这个优化,当执行 JavaScript 脚本时,另一个线程解析剩下的文档,并加载后面需要通过网络加载的资源。这种方式可以使资源并行加载从而使整体速度更快。需要注意的是,预解析并不改变 DOM 树,它将这个工作留给主解析过程,自己只解析外部资源的引用,比如外部脚本、样式表及图片。
CSS 如何阻塞文档解析?
理论上,既然样式表不改变 DOM 树,也就没有必要停下文档的解析等待它们。然而,存在一个问题,JavaScript 脚本执行时可能在文档的解析过程中请求样式信息,如果样式还没有加载和解析,脚本将得到错误的值,显然这将会导致很多问题。
所以如果浏览器尚未完成 CSSOM 的下载和构建,而我们却想在此时运行脚本,那么浏览器将延迟 JavaScript 脚本执行和文档的解析,直至其完成 CSSOM 的下载和构建。 也就是说,在这种情况下,浏览器会先下载和构建 CSSOM,然后再执行 JavaScript,最后再继续文档的解析。
前端存储
浏览器存储
- IndexedDB:适合存储大量数据,特别是复杂、结构化的数据。容量较大且持久性强。
- LocalStorage:用于持久化存储简单数据。容量适中,存储的数据长期有效,除非手动删除。
- SessionStorage:适用于会话级别的临时数据,生命周期短,当标签页或浏览器窗口关闭时数据清除。
- Cookie:适用于存储少量数据,通常用于会话管理和小型数据存储,虽然持久性可以根据设置进行控制,但每次请求时会附带发送给服务器,影响性能。
Cookie
Cookie是最早被提出来的本地存储方式,在此之前,服务端是无法判断网络中的两个请求是否是同一用户发起的,为解决这个问题,Cookie就出现了。Cookie的大小只有4kb,它是一种纯文本文件,每次发起HTTP请求都会携带Cookie。
Cookie的特性:
- Cookie一旦创建成功,名称就无法修改
- Cookie是无法跨域名的,也就是说a域名和b域名下的cookie是无法共享的,这也是由Cookie的隐私安全性决定的,这样就能够阻止非法获取其他网站的Cookie
- 每个域名下Cookie的数量不能超过20个,每个Cookie的大小不能超过4kb;
- 有安全问题,如果Cookie被拦截了,那就可获得session的所有信息,即使加密也于事无补,无需知道cookie的意义,只要转发cookie就能达到目的
- Cookie在请求一个新的页面的时候都会被发送过去
如果需要域名之间跨域共享Cookie,有两种方法:
- 使用Nginx反向代理
- 在一个站点登陆之后,往其他网站写Cookie。服务端的Session存储到一个节点,Cookie存储sessionId
常见可选字段:
Expires
:设置 Cookie 的到期时间。Max-Age
:以秒为单位设置 Cookie 的存活时间。Domain
:指定 Cookie 适用的域。Path
:指定 Cookie 适用的路径。Secure
:仅在 HTTPS 协议下发送 Cookie。HttpOnly
:防止 JavaScript 访问 Cookie。—可能会导致XSS攻击(跨站脚本攻击)SameSite
:控制 Cookie 的跨站发送策略,防止跨站请求伪造(CSRF)。
1 | //防止js访问cookie |
LocalStorage
LocalStorage
是一种持久化的浏览器存储机制,用于保存较大且长期有效的键值对数据。数据存储在本地,除非手动删除,否则不会随浏览器关闭或刷新而丢失。LocalStorage的优点:
- 在大小方面,LocalStorage的大小一般为5MB,可以储存更多的信息
- LocalStorage是持久储存,并不会随着页面的关闭而消失,除非主动清理,不然会永久存在
- 仅储存在本地,不像Cookie那样每次HTTP请求都会被携带
LocalStorage的缺点
- 存在浏览器兼容问题,IE8以下版本的浏览器不支持
- 如果浏览器设置为隐私模式,那我们将无法读取到LocalStorage
- LocalStorage受到同源策略的限制,即端口、协议、主机地址有任何一个不相同,都不会访问
SessionStorage
SessionStorage和LocalStorage都是在HTML5才提出来的存储方案,SessionStorage 主要用于临时保存同一窗口(或标签页)的数据,刷新页面时不会删除,关闭窗口或标签页之后将会删除这些数据。
SessionStorage与LocalStorage对比
- SessionStorage和LocalStorage都在本地进行数据存储,
localstorage
存在本地硬盘,关机再打开依然存在,sessionstorage
存在内存; - SessionStorage也有同源策略的限制,但是SessionStorage有一条更加严格的限制,SessionStorage只有在同一浏览器的同一窗口下才能够共享;
- LocalStorage和SessionStorage都不能被爬虫爬取;
IndexedDB
IndexedDB
是浏览器内的 NoSQL 数据库,允许存储大量结构化数据(例如对象),并支持事务和复杂查询操作。它适合处理大数据量,并且数据可以永久存储,直到手动清除。
- 容量:较大(通常可以达到 50MB 或更多,依赖于浏览器)。
- 持久性:数据持久存储,除非手动删除或用户清除浏览器缓存。
- 访问方式:通过 JavaScript API 进行操作,支持异步操作。
- 适用场景:适合存储复杂的结构化数据、离线数据或需要高效读取和写入的场景。
Cookie、LocalStorage、SessionStorage区别
cookie: 其实最开始是服务器端用于记录用户状态的一种方式,由服务器设置,在客户端存储,然后每次发起同源请求时,发送给服务器端。cookie 最多能存储 4 k 数据,它的生存时间由 expires 属性指定,并且 cookie 只能被同源的页面访问共享。
sessionStorage: HTML5提供的一种浏览器本地存储的方法,它借鉴了服务器端 session 的概念,代表的是一次会话中所保存的数据。它一般能够存储 5M 或者更大的数据,它在当前窗口关闭后就失效了,并且 sessionStorage 只能被同一个窗口的同源页面所访问共享。
sessionStorage
不能在多个窗口或标签页之间共享数据,但是当通过`` window.open或链接打开新页面时(不能是新窗口),新页面会复制前一页的
sessionStorage。**这种复制行为**意味着原页面和新页面各自都有独立的 **
sessionStorage**,但它们不会同步。如果一个页面修改了 **
sessionStorage**,另一个页面不会感知到这些变化,因为每个页面都有自己的一份独立的 **
sessionStorage`** 数据。
HTTP存储
HTTP存储是指与客户端和服务器之间的交互相关的存储机制,主要通过 HTTP 协议来管理数据的缓存、状态信息存储和传递。它主要通过 HTTP 头(如 Cookie
、Cache-Control
、Expires
、ETag
、Last-Modified
等)来控制缓存的存储方式、有效时间、是否需要重新验证等。
主要的 HTTP 存储机制包括:
- Cookie:用于存储少量客户端数据,常用于会话状态保持、用户认证等。
- HTTP 缓存:通过响应头中的
Cache-Control
、Expires
、ETag
、Last-Modified
等字段控制资源缓存和有效期。 - 协商缓存:通过
ETag
和Last-Modified
等头来验证缓存资源是否需要更新。
HTTP存储的优先级
不同的 HTTP 存储机制在浏览器中的处理优先级是不同的,主要取决于其功能和覆盖范围。一般来说:
- Cache-Control:最优先的字段,用于明确指定缓存的行为。
- ETag 和 Last-Modified:用于协商缓存,依赖于浏览器与服务器的协商结果来决定缓存的有效性。
- Expires:早期的缓存机制,若同时存在
Cache-Control
,则优先遵循Cache-Control
。 - Cookie:每次 HTTP 请求都会附带发送给服务器,用于保持会话状态或传递小数据。
不同 HTTP 存储机制可以设置的字段
Cache-Control
Cache-Control
是 HTTP/1.1 中用来控制缓存行为的响应头或请求头字段。它提供了非常灵活的缓存控制机制,常见的字段有:
**
max-age=<seconds>
**:指定缓存的最大有效时间(以秒为单位)。在这段时间内,资源可以直接从缓存中读取,而不需要重新向服务器请求。- 示例:
Cache-Control: max-age=3600
(缓存 1 小时)
- 示例:
**
no-cache
**:不直接使用缓存,需要在每次请求时向服务器验证资源的有效性(通常通过 ETag 或 Last-Modified 验证)。**
no-store
**:完全禁止缓存,既不缓存请求的响应,也不缓存请求本身。适合敏感数据,如用户登录信息等。**
public
**:允许该资源被浏览器和任何中间代理服务器缓存。适用于公共资源。**
private
**:只允许该资源被浏览器缓存,禁止中间代理服务器缓存。**
must-revalidate
**:当缓存过期时,必须重新验证资源的有效性,而不能使用过期缓存。**
s-maxage=<seconds>
**:与max-age
类似,但只适用于共享缓存(如代理服务器或 CDN 缓存)。**
immutable
**:表示资源是不可变的,缓存可以永久存储,适合静态资源,如版本化的 CSS 和 JS 文件。**
no-transform
**:禁止代理服务器对资源进行任何转换(如图片压缩、格式转换等)。
Expires
Expires
是 HTTP/1.0 中的缓存控制字段,用于设置资源的过期时间点(一个绝对的日期和时间),表示在该时间点之前,缓存是有效的。
示例:
Expires: Wed, 27 Oct 2024 07:00:00 GMT
优先级:如果响应头中同时存在
Cache-Control
和Expires
,Cache-Control
的优先级更高,Expires
会被忽略。
ETag
ETag
是 HTTP 协议中用于协商缓存的字段,表示资源的唯一标识符(通常是资源内容的哈希值)。当浏览器再次请求该资源时,会发送 If-None-Match
字段,并携带当前缓存的 ETag
,服务器根据这个值判断资源是否改变。
示例:
ETag: "5d8c72a3ed7ed"
(服务器返回的 ETag)如果资源没有改变,服务器返回
304 Not Modified
,浏览器使用缓存资源;如果资源发生变化,服务器返回200 OK
和新的资源内容。
Last-Modified 和 If-Modified-Since
**
Last-Modified
**:服务器在响应中返回资源的最后修改时间。浏览器之后在请求该资源时,会通过If-Modified-Since
字段发送最后一次缓存的Last-Modified
值。服务器根据该值判断资源是否发生改变。- 示例:
- 响应头:
Last-Modified: Wed, 21 Oct 2024 07:28:00 GMT
- 请求头:
If-Modified-Since: Wed, 21 Oct 2024 07:28:00 GMT
- 响应头:
- 示例:
如果资源未修改,服务器返回
304 Not Modified
,浏览器使用缓存;如果资源已修改,服务器返回200 OK
和新的资源内容。
Cookie
Cookie
是用于在客户端和服务器之间交换数据的存储机制。通常用于会话管理、用户偏好设置等。每次请求时,浏览器会自动将 Cookie 附加到请求头中。
- **
Set-Cookie
**:服务器用来设置 Cookie 的响应头字段。常见的可选字段:
Expires
:设置 Cookie 的过期时间。过期时间之后,浏览器会自动删除 Cookie。Max-Age
:指定 Cookie 的有效期(以秒为单位)。与Expires
类似,但使用相对时间。Domain
:指定 Cookie 可以访问的域。Path
:指定 Cookie 的有效路径,只有在该路径下,Cookie 才会被发送。Secure
:指定 Cookie 只能通过 HTTPS 发送,确保安全。HttpOnly
:指定 Cookie 只能在 HTTP 请求中使用,JavaScript 无法访问此 Cookie。SameSite
:防止跨站请求伪造攻击,限制第三方站点的 Cookie 传递行为。
示例:
1
Set-Cookie: sessionId=abc123; Expires=Wed, 09 Jun 2024 10:18:14 GMT; Path=/; Secure; HttpOnly; SameSite=Lax
HTTP存储优先级总结
- **
Cache-Control
**:优先级最高,现代浏览器首选此字段控制缓存策略,能覆盖较多的缓存控制需求。 - **
ETag
和Last-Modified
**:用于协商缓存,依赖服务器的响应来决定是否重新获取资源。 - **
Expires
**:作为早期缓存机制,仅在Cache-Control
不存在的情况下使用。 - **
Cookie
**:每次请求都会携带到服务器,用于维持会话状态和小量数据的存储,但不会用于资源缓存管理。
通过合理使用这些 HTTP 存储机制,可以显著提升网页的性能,减少服务器负载,同时确保客户端的数据一致性和安全性。
正向代理和反向代理的区别
正向代理:正向代理是一个位于客户端和目标服务器之间的代理服务器。它帮助客户端(通常是浏览器或其他请求发起方)访问目标服务器,客户端通过正向代理服务器发起请求,再由代理服务器转发给目标服务器,然后将响应返回给客户端。
反向代理:反向代理是代理服务器的一种,它位于服务器端,帮助服务器接收和处理来自客户端的请求。客户端并不知道目标服务器的实际地址,所有的请求都被反向代理服务器接收,并由反向代理服务器将请求转发给目标服务器,再将结果返回给客户端。
前端安全了解吗,说一下 XSS 和 CSRF,以及怎么规避
XSS:跨域脚本攻击
XSS 攻击指的是跨站脚本攻击,是一种代码注入攻击。攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信息如 cookie 等。
XSS 的本质是因为网站没有对恶意代码进行过滤,与正常的代码混合在一起了,浏览器没有办法分辨哪些脚本是可信的,从而导致了恶意代码的执行。
攻击者可以通过这种攻击方式可以进行以下操作:
- 获取页面的数据,如DOM、cookie、localStorage;
- DOS攻击,发送合理请求,占用服务器资源,从而使用户无法访问服务器;
- 破坏页面结构;
- 流量劫持(将链接指向某网站);
防御方法
可以从浏览器的执行来进行预防,一种是使用纯前端的方式,不用服务器端拼接后返回(不使用服务端渲染)。另一种是对需要插入到 HTML 中的代码做好充分的转义。对于 DOM 型的攻击,主要是前端脚本的不可靠而造成的,对于数据获取渲染和字符串拼接的时候应该对可能出现的恶意代码情况进行判断。
CSRF:跨站请求伪造
CSRF 攻击指的是跨站请求伪造攻击,攻击者诱导用户进入一个第三方网站,然后该网站向被攻击网站发送跨站请求。如果用户在被攻击网站中保存了登录状态,那么攻击者就可以利用这个登录状态,绕过后台的用户验证,冒充用户向服务器执行一些操作。
CSRF 攻击的本质是利用 cookie 会在同源请求中携带发送给服务器的特点,以此来实现用户的冒充。
CSRF 攻击可以使用以下方法来防护:
- 进行同源检测,服务器根据 http 请求头中 origin 或者 referer 信息来判断请求是否为允许访问的站点,从而对请求进行过滤。
- 使用 CSRF Token 进行验证,服务器向用户返回一个随机数 Token ,当网站再次发起请求时,在请求参数中加入服务器端返回的 token ,然后服务器对这个 token 进行验证。
- 对 Cookie 进行双重验证,服务器在用户访问网站页面时,向请求域名注入一个Cookie,内容为随机字符串,然后当用户再次向服务器发送请求的时候,从 cookie 中取出这个字符串,添加到 URL 参数中,然后服务器通过对 cookie 中的数据和参数中的数据进行比较,来进行验证。
- 在设置 cookie 属性的时候设置 Samesite ,限制 cookie 不能作为被第三方使用,从而可以避免被攻击者利用。Samesite 一共有两种模式,一种是严格模式,在严格模式下 cookie 在任何情况下都不可能作为第三方 Cookie 使用,在宽松模式下,cookie 可以被请求是 GET 请求,且会发生页面跳转的请求所使用。
什么是中间人攻击?
中间⼈ (Man-in-the-middle attack, MITM) 是指攻击者与通讯的两端分别创建独⽴的联系, 并交换其所收到的数据, 使通讯的两端认为他们正在通过⼀个私密的连接与对⽅直接对话, 但事实上整个会话都被攻击者完全控制。在中间⼈攻击中,攻击者可以拦截通讯双⽅的通话并插⼊新的内容。
攻击过程如下:
- 客户端发送请求到服务端,请求被中间⼈截获
- 服务器向客户端发送公钥
- 中间⼈截获公钥,保留在⾃⼰⼿上。然后⾃⼰⽣成⼀个伪造的公钥,发给客户端
- 客户端收到伪造的公钥后,⽣成加密hash值发给服务器
- 中间⼈获得加密hash值,⽤⾃⼰的私钥解密获得真秘钥,同时⽣成假的加密hash值,发给服务器
- 服务器⽤私钥解密获得假密钥,然后加密数据传输给客户端
17. 浏览器是如何进行界面渲染的?
不同的渲染引擎的具体做法稍有差异,但是大体流程都是差不多的,下面以 chrome渲染引擎 的 渲染流程来说明:
- 获取 HTML ⽂件并进⾏解析,生成一棵 DOM 树(DOM Tree)
- 解析 HTML 的同时也会解析 CSS,⽣成样式规则(Style Rules)
- 根据 DOM 树和样式规则,生成一棵渲染树(Render Tree)
- 进行布局(Layout)(重排),即为每个节点分配⼀个在屏幕上应显示的确切坐标位置
- 进⾏绘制(Paint)(重绘),遍历渲染树节点,调⽤ GPU(图形处理器) 将元素呈现出来
18. 前端如何实现即时通讯?websocket
1 | 严格意义上: HTTP协议只能做到客户端请求服务器, 服务器做出响应, 做不到让服务器主动给客户端推送消息! |
那么如果服务器数据更新了, 想要即时通知到客户端怎么办呢 ? (即时通信需求)
即时通信需求: 服务器数据一有更新, 希望推送给到浏览器
提问的回答重心:
- 即时通信有哪些方案?
- 为什么使用了其中某一个方案! websocket
基于Web的前端,存在以下几种可实现即时通讯的方式:
短轮询 (历史方案)
开个定时器, 每隔一段时间发请求 (实时性不强,影响性能)
Comet - ajax长轮询(历史方案)
发送一个请求, 服务器只要数据不更新, 就一直阻塞 (服务器压力过大)
SSE
(利用了http协议, 流数据的传输, 并不是严格意义的双向通信, 无法复用连接)
WebSocket (主流)
性能和效率都高!
19. 说一下websocket
websocket是一种网络通信协议,是HTML5开始提供的一种在单个TCP连接上进行全双工通信的协议,这个对比着HTTP协议来说,HTTP协议是一种无状态的、无连接的、单向的应用层协议,通信请求只能由客户端发起,服务端对请求做出应答处理。
HTTP协议无法实现服务器主动向客户端发起消息,websocket连接允许客户端和服务器之间进行全双工通信,以便任一方都可以通过建立的连接将数据推送到另一端。websocket只需要建立一次连接,就可以一直保持连接状态
19.2 什么是轮询
轮询:隔一段时间进行一次查询或者询问
轮询分为长轮询和短轮询,长轮询是基于短轮询的一个优化结果。
短轮询:
通过客户端定期轮询来询问服务端是否有新的信息产生,如果有则返回,没有就不响应, 缺点:也是显而易见,轮询间隔大了则信息不够实时,轮询间隔过小又会消耗过多的流量,增加服务器的负担。
长轮询:
是需要服务端进行更改来进行支持,客户端向服务端发送请求时,如果此时服务端没有新的信息产生,并不立刻返回,而是Hold
住一段时间等有新的信息或者超时再返回,客户端收到服务器的应答后继续轮询。可以看到长轮询比短轮询可以减少大量无用的请求,并且客户端接收取新消息也会实时不少。减少http
请求对性能的优化是很有利的,所以他是短轮询上的一个优化 缺点:终归来讲还是一个http
请求,只是进行了变化而已,而且如果客户端不请求,服务端有数据的话,也会一直累积在那,不能实现实时的双向通信
此时的webSocket
也就应需而生了
20. 前端怎么做SEO优化
什么是SEO
SEO(Search Engine Optimization),即搜索引擎优化。SEO是随着搜索引擎的出现而来的,两者是相互促进,互利共生的关系。SEO的存在就是为了提升网页在搜索引擎自然搜索结果中的收录数量以及排序位置而做的优化行为。而优化的目的就是为了提升网站在搜索引擎中的权重,增加对搜索引擎的友好度,使得用户在访问网站时能排在前面。
为什么要做SEO
提高网站的权重,增强搜索引擎友好度,以达到提高排名,增加流量,改善(潜在)用户体验,促进销售的作用。
前端怎么做SEO优化
- 网站结构布局优化: 尽量简单
- 控制首页链接数量
- 网页层级不要太深
- 控制页面大小, 减少HTTP请求, 提高网站的加载速度
- 尽量使用语义化标签
- 利用浏览器缓存