2024年最全京东一面:post为什么会发送两次请求?(1),2024最新Web前端大厂面试真题大全

于 2024-05-14 15:12:52 发布
阅读量564 收藏 17
点赞数 12
分类专栏: 程序员 文章标签: 前端 面试 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84618790/article/details/138856300
版权

Vue

  • 什么是MVVM?

  • mvvm和mvc区别?它和其它框架(jquery)的区别是什么?哪些场景适合?

  • 组件之间的传值?

  • Vue 双向绑定原理

  • 描述下 vue 从初始化页面–修改数据–刷新页面 UI 的过程?

  • 虚拟 DOM 实现原理

  • Vue 中 key 值的作用?

  • Vue 的生命周期

  • Vue 组件间通信有哪些方式?

  • vue 中怎么重置 data?

  • 组件中写 name 选项有什么作用?

  • Vue 的 nextTick 的原理是什么?

  • Vuex 有哪几种属性?

    开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】

什么是同源策略

同源策略是一个重要的安全策略,它用于限制一个源的文档或者它加载的脚本如何能与另一个源的资源进行交互。

如果两个 URL 的协议、主机和端口都相同,我们就称这两个 URL 同源。

  • 协议:协议是定义了数据如何在计算机内和之间进行交换的规则的系统,例如 HTTP、HTTPS。
  • 主机:是已连接到一个计算机网络的一台电子计算机或其他设备。网络主机可以向网络上的用户或其他节点提供信息资源、服务和应用。使用 TCP/IP 协议族参与网络的计算机也可称为 IP 主机。
  • 端口:主机是计算机到计算机之间的通信,那么端口就是进程到进程之间的通信。

如下表给出了与 URL http://store.company.com:80/dir/page.html 的源进行对比的示例:

URL结果原因
http://store.company.com:80/dir2/page.html同源只有路径不同
http://store.company.com:80/dir/inner/another.html同源只有路径不同
https://store.company.com:443/secure.html不同源协议不同,HTTP 和 HTTPS
http://store.company.com:81/dir/etc.html不同源端口不同
http://news.company.com:80/dir/other.html不同源主机不同

同源策略主要表现在以下三个方面:DOM、Web 数据和网络。

  • DOM 访问限制:同源策略限制了网页脚本(如 JavaScript)访问其他源的 DOM。这意味着通过脚本无法直接访问跨源页面的 DOM 元素、属性或方法。这是为了防止恶意网站从其他网站窃取敏感信息。
  • Web 数据限制:同源策略也限制了从其他源加载的 Web 数据(例如 XMLHttpRequest 或 Fetch API)。在同源策略下,XMLHttpRequest 或 Fetch 请求只能发送到与当前网页具有相同源的目标。这有助于防止跨站点请求伪造(CSRF)等攻击。
  • 网络通信限制:同源策略还限制了跨源的网络通信。浏览器会阻止从一个源发出的请求获取来自其他源的响应。这样做是为了确保只有受信任的源能够与服务器进行通信,以避免恶意行为。

出于安全原因,浏览器限制从脚本内发起的跨源 HTTP 请求,XMLHttpRequest 和 Fetch API,只能从加载应用程序的同一个域请求 HTTP 资源,除非使用 CORS 头文件

CORS

对于浏览器限制这个词,要着重解释一下:不一定是浏览器限制了发起跨站请求,也可能是跨站请求可以正常发起,但是返回结果被浏览器拦截了。

浏览器将不同域的内容隔离在不同的进程中,网络进程负责下载资源并将其送到渲染进程中,但由于跨域限制,某些资源可能被阻止加载到渲染进程。如果浏览器发现一个跨域响应包含了敏感数据,它可能会阻止脚本访问这些数据,即使网络进程已经获得了这些数据。CORB 的目标是在渲染之前尽早阻止恶意代码获取跨域数据。

CORB 是一种安全机制,用于防止跨域请求恶意访问跨域响应的数据。渲染进程会在 CORB 机制的约束下,选择性地将哪些资源送入渲染进程供页面使用。

例如,一个网页可能通过 AJAX 请求从另一个域的服务器获取数据。虽然某些情况下这样的请求可能会成功,但如果浏览器检测到请求返回的数据可能包含恶意代码或与同源策略冲突,浏览器可能会阻止网页访问返回的数据,以确保用户的安全。

跨源资源共享(Cross-Origin Resource Sharing,CORS)是一种机制,允许在受控的条件下,不同源的网页能够请求和共享资源。由于浏览器的同源策略限制了跨域请求,CORS 提供了一种方式来解决在 Web 应用中进行跨域数据交换的问题。

CORS 的基本思想是,服务器在响应中提供一个标头(HTTP 头),指示哪些源被允许访问资源。浏览器在发起跨域请求时会先发送一个预检请求(OPTIONS 请求)到服务器,服务器通过设置适当的 CORS 标头来指定是否允许跨域请求,并指定允许的请求源、方法、标头等信息。

简单请求

不会触发 CORS 预检请求。这样的请求为 简单请求,。若请求满足所有下述条件,则该请求可视为 简单请求

  1. HTTP 方法限制:只能使用 GET、HEAD、POST 这三种 HTTP 方法之一。如果请求使用了其他 HTTP 方法,就不再被视为简单请求。
  2. 自定义标头限制:请求的 HTTP 标头只能是以下几种常见的标头:AcceptAccept-LanguageContent-LanguageLast-Event-IDContent-Type(仅限于 application/x-www-form-urlencodedmultipart/form-datatext/plain)。HTML 头部 header field 字段:DPR、Download、Save-Data、Viewport-Width、WIdth。如果请求使用了其他标头,同样不再被视为简单请求。
  3. 请求中没有使用 ReadableStream 对象。
  4. 不使用自定义请求标头:请求不能包含用户自定义的标头。
  5. 请求中的任意 XMLHttpRequestUpload 对象均没有注册任何事件监听器;XMLHttpRequestUpload 对象可以使用 XMLHttpRequest.upload 属性访问

预检请求

非简单请求的 CORS 请求,会在正式通信之前,增加一次 HTTP 查询请求,称为 预检请求

需预检的请求要求必须首先使用 OPTIONS 方法发起一个预检请求到服务器,以获知服务器是否允许该实际请求。预检请求 的使用,可以避免跨域请求对服务器的用户数据产生未预期的影响。

例如我们在掘金上删除一条沸点:

20230822094049

它首先会发起一个预检请求,预检请求的头信息包括两个特殊字段:

  • Access-Control-Request-Method:该字段是必须的,用来列出浏览器的 CORS 请求会用到哪些 HTTP 方法,上例是 POST。
  • Access-Control-Request-Headers:该字段是一个逗号分隔的字符串,指定浏览器 CORS 请求会额外发送的头信息字段,上例是 content-type,x-secsdk-csrf-token
  • access-control-allow-origin:在上述例子中,表示 https://juejin.cn 可以请求数据,也可以设置为* 符号,表示统一任意跨源请求。
  • access-control-max-age:该字段可选,用来指定本次预检请求的有效期,单位为秒。上面结果中,有效期是 1 天(86408 秒),即允许缓存该条回应 1 天(86408 秒),在此期间,不用发出另一条预检请求。

一旦服务器通过了 预检请求,以后每次浏览器正常的 CORS 请求,就都跟简单请求一样,会有一个 Origin 头信息字段。服务器的回应,也都会有一个 Access-Control-Allow-Origin 头信息字段。

20230822122441

上面头信息中,Access-Control-Allow-Origin 字段是每次回应都必定包含的。

附带身份凭证的请求与通配符

在响应附带身份凭证的请求时:

  • 为了避免恶意网站滥用 Access-Control-Allow-Origin 头部字段来获取用户敏感信息,服务器在设置时不能将其值设为通配符 *。相反,应该将其设置为特定的域,例如:Access-Control-Allow-Origin: https://juejin.cn。通过将 Access-Control-Allow-Origin 设置为特定的域,服务器只允许来自指定域的请求进行跨域访问。这样可以限制跨域请求的范围,避免不可信的域获取到用户敏感信息。
  • 为了避免潜在的安全风险,服务器不能将 Access-Control-Allow-Headers 的值设为通配符 *。这是因为不受限制的请求头可能被滥用。相反,应该将其设置为一个包含标头名称的列表,例如:Access-Control-Allow-Headers: X-PINGOTHER, Content-Type。通过将 Access-Control-Allow-Headers 设置为明确的标头名称列表,服务器可以限制哪些自定义请求头是允许的。只有在允许的标头列表中的头部字段才能在跨域请求中被接受。
  • 为了避免潜在的安全风险,服务器不能将 Access-Control-Allow-Methods 的值设为通配符 *。这样做将允许来自任意域的请求使用任意的 HTTP 方法,可能导致滥用行为的发生。相反,应该将其设置为一个特定的请求方法名称列表,例如:Access-Control-Allow-Methods: POST, GET。通过将 Access-Control-Allow-Methods 设置为明确的请求方法列表,服务器可以限制哪些方法是允许的。只有在允许的方法列表中的方法才能在跨域请求中被接受和处理。
  • 对于附带身份凭证的请求(通常是 Cookie),

最后

由于篇幅限制,pdf文档的详解资料太全面,细节内容实在太多啦,所以只把部分知识点截图出来粗略的介绍,每个小节点里面都有更细化的内容!

开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】

记+真实项目实战+最新讲解视频】](https://bbs.csdn.net/forums/4304bb5a486d4c3ab8389e65ecb71ac0)**

[外链图片转存中…(img-CtwbcB01-1715670748435)]

[外链图片转存中…(img-rQcwXSc5-1715670748435)]

2401_84618790
关注
  • 12
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
京东前端经典面试题整理
loveX001的博客
02-14 607
a . length;// "ABC"在访问时,JavaScript 将'abc'在后台转换成,然后再访问其length属性。JavaScript也可以使用Object也可以使用valueOfif(!a) {答案是什么都不打印,因为虽然包裹的基本类型是false,但是false被包裹成包装类型后就成了对象,所以其非值为false,所以循环体中的内容不运行。一个拥有 length 属性和若干索引属性的对象就可以被称为类数组对象,类数组对象和数组类似,但是不能调用数组的方法。
02(1),2024最新京东web前端面试
最新发布
m0_60452134的博客
04-15 667
Node.js 在引擎盖下使用的引擎 V8(也称为 Chrome V8,因为它是 Chromium 项目的开源 JavaScript 引擎),由于这场竞争而得到了显着改进。不幸的是,Netscape LiveWire 并不是很成功,服务器端 JavaScript 直到最近才流行起来,因为 Node.js 的引入。现阶段较热门是React、Vue两大框架,两者工作原理上存在共通点,也存在一些不同点,对于校招来说,不需要两个框架都学得特别熟,一般面试针对你简历中写的框架进行提问。Node.js 诞生。
京东 前端 面试
信念之于人,犹翅膀之于鸟,信念是飞翔的翅膀
02-20 789
下列关于Canvas和 SVG图形的区别说法错误的是 Canvas 绘制的形状都能被记忆和操作 正确的是: SVG为了之后的操作,需要记录坐标,所以比较慢 Canvas不能使用绘制对象的相关事件处理,因为我们没有他们的参考 Canvas 和分辨率无关 在一个行内元素中,显示了不同的三部分内容,若想要这三个内容以 1:1:1的比例分配,该如何实现: positon:relative; -webkit-box-flew:1; box-flew:1; -webkit-flew:1; flew:1; 关于H.
京东物流——前端面试
gaofan_long的博客
02-19 1310
目录 1. 地图用到什么技术? 2. canvas 和svg? 1.什么是Canvas? Canvas 是H5新出来的标签 Canvas画布,利用JavaScript在网页绘制图像 在标签中给上宽高: 不用加单位 如果在css中给宽高 对图像造成拉伸 (默认宽高300px*150px) 通过过去绘制工具 .getContext(“2d”) 来在画布中绘制图形 2.什么是SVG? SVG 可缩放矢量图形(Scalable Vector Graphics),基于可扩展标记语言XML 出来的
身为三本的我就是凭借这些前端面试题拿到百度京东offer的,前端面试题2021及答案...
热门推荐
Python研究所
01-22 2万+
此文转载自:https://blog.csdn.net/qq_33277654/article/details/112758362#commentBox 点进来之后你的噩梦就要来了,接下来你要面对上百道面试题,那么,如果你—— 是个小白菜: 推荐使用2~3周的时间来消化接下来的面试题,遇到不的没听说过名词请立刻去搜;文章中只是简答,如果想要详细了解的话还需要你自觉去搜索...
京东达达前端面试
初漾的博客
10-10 1382
沟通表达和基础 链表实现栈,主要是链表实现 vue2.0与vue1.0区别 localstorage的底层 settimeout和setinterval的区别 主要用在哪儿 对前端学习热情,怎么学的,看什么网站,看什么书。 怎么一个动机 持续学习的热情 position属性的区别,应用场景
前端大厂最新面试题-GET_POST.docx
06-06
* GET 方法的请求是无害的,而 POST 方法的请求导致副作用 * GET 方法的请求可以被浏览器缓存,而 POST 方法的请求被缓存 * GET 方法的请求参数是有长度限制的,而 POST 方法的请求参数没有长度限制 四、GET ...
前端大厂最新面试题-前端安全.docx
06-06
前端大厂最新面试题-前端安全 本文档总结了前端安全的相关知识点,涵盖了XSS、CSRF、CSP等多方面的内容。下面是对标题和描述中所说的知识点的详细说明: 一、XSS(Cross-Site Scripting) * 定义:XSS是一种经常...
最新大厂前端面试题-面试指南Http面试题.docx
06-06
答案:GET 在浏览器回退时是无害的,而 POST 再次提交请求;GET 产生的 URL 地址可以被 Bookmark,而 POST 不可以;GET 请求被浏览器主动 cache,而 POST,除非手动设置等。 6. Http 与 Https 的区别? ...
前端大厂最新面试题-alibaba.docx
06-06
前端大厂最新面试题-alibaba 在本资源中,我们将详细讨论阿里巴巴前端工程师面试的相关知识点,涵盖闭包、箭头函数、HTTP 协议、跨域请求、XSS 和 CSRF 防御等多个方面。 闭包(Closure) 闭包是 JavaScript 中的...
201610家公司(京东/美团/国美等) 前端面试题提炼
01-22
总体来讲面试问题差不多,可能不同业务的公司问的侧重点不太一样,有的侧重于移动端适配css布局浏览器兼容IE hack,有的侧重于JS逻辑面向对象设计模式考察等。
前端大厂最新面试题-kuaishou.docx
06-06
前端大厂最新面试题-kuaishou.docx 本文将对快手前端面试题进行详细解析,涉及到网络协议、算法、前端框架Vue等多个方面。 一、网络协议 1. OSI 7层模型:OSI模型是国际标准化组织(ISO)制定的网络通信模型,共7...
京东前端手写面试题集锦
helloworld1024fd的博客
03-13 533
执行temp(5),这个函数内执行add(m+n),n是此次传进来的数值5,m值还是上一步中的7,所以add(m+n)=add(7+5)=add(12),此时m=12,并且返回temp函数。执行temp(4),这个函数内执行add(m+n),n是此次传进来的数值4,m值还是上一步中的3,所以add(m+n)=add(3+4)=add(7),此时m=7,并且返回temp函数。event bus既是node中各个模块的基石,又是前端组件通信的依赖手段之一,同时涉及了订阅-发布设计模式,是非常重要的基础。
京东前端常考面试题(附答案)
m0_67614517的博客
09-13 1212
京东前端常考面试题(附答案)
京东2022前端开发面试
weixin_52878347的博客
07-30 206
具体来说,当某个元素的key值发生变化时,Vue认为它是一个全新的元素,而不是一个需要更新的元素,从而删除旧的元素,创建新的元素,并添加到DOM中。当我们在父组件中使用子组件时,可以在子组件内部使用默认插槽,将父组件中的内容插入到子组件中的特定位置。例如,可以通过修改组件实例中的data对象中的某个属性来更新数据状态。另外,在使用Vue的过程中,key还可以用于在同一个组件中切换不同的数据源,例如在使用v-for指令循环渲染列表时,可以使用key来确保每个子组件的唯一性,从而避免出现数据混乱的问题。
京东前端高频面试题合集
yyzzabc123的博客
09-13 358
京东前端高频面试题合集
京东最爱考的前端面试题:CSS常用五类选择器
m0_60126814的博客
07-21 210
一面 css 如何实现垂直居中? position 有哪几种?分别说一下对应的效果和用法 css 选择器优先级 js 原型链,问了js 如何创建对象 页面渲染和响应 式 MVVM 和 MVC的区别 Vue 生命周期,在哪个阶段可以获取页面 dom 信息 Vue 的组件通信 ,聊到一些网络相关 TCP 和 UDP 的区别 TCP 的三次握手和四次挥手 promise 有哪几种状态 手写一个 promise 算法题:最长公共前缀 算法题:多层数组嵌套降级 二面 问项目的情况 根据项目问了一点我的工作,接
京东2022前端开发面试题2
weixin_52878347的博客
08-02 95
在这个例子中,我们在父组件中定义了一个名为"greeting"和"sayHello"的数据和方法,然后使用provide选项将它们注入到子组件中。使用console.log()输出信息:console.log()是最常用的调试方式之一,可以帮助我们在控制台输出一些变量的值、函数的执行结果等信息,以便于我们查看程序运行的情况。不要使用innerHTML等可执行脚本的函数:使用innerHTML、eval等可执行脚本的函数使得代码的可读性和可维护性增加,但也增加代码的漏洞性,应该避免使用。
前端请求一次为什么两次post
09-18
前端请求一次两次post的情况可能是...需要注意的是,前端发送两次POST请求的原因可能是由于设计需求或误操作导致的,或者是服务器的响应处理方式造成的。对于确切原因,需要具体分析具体情况才能给出准确的答案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值