浏览器安全
同源策略
iframe被劫持
CORS是什么?
XSS:恶意第三方想方设法让自己的js代码在当前页面执行
XSS的基本类型:stored(存储型)、reflected(反射型)、DOM-based(DOM型)
stored:需要服务器通过设置标签白名单来进行防御
把传入的东西进行转义
禁止动态修改CSS资源引用
特殊协议(dataURL)(不重要)
任何情况下都不要用document.write
reflected需要服务端帮助防御
宗旨就是:永远不要相信用户输入的内容
CSP:只允许从我指定的地方加载资源
尽量不要用inline-script
CSRF:跨站请求伪造
防止CSRS:
验证码
Referer(来源)
Anti CSFR Token(足够随机,无法伪造):往往只考虑单页面
尽量用post:起码不是明文,被猜到的概率低一点,增加购机成本
DNS劫持
防御HTTP劫持:CSP、SRI(没有防中间人)
TLS握手
加密
只有signature来自ca
根证书:自己给自己签名
mix content:https中混着http的叛徒
HTML相关
使用”no-reference“属性
VUE的简单介绍
渐进式
代码质量和单元测试
测试难度很大,创建持续高效迭代的web应用程序
单元测试的作用:回归验证核心模块的正确性,对维护和修改提供支持
单元测试的场景:
用途:断言程序输出是否与预期一致:asset
什么时候编写单元测试?
代码风格:tab的设置、命名、缩进。代码质量不等于代码风格统一
圈复杂度:if-else嵌套多少层