Http-HTML-浏览器八股

最新推荐文章于 2024-07-18 22:54:47 发布

Fremount

最新推荐文章于 2024-07-18 22:54:47 发布

阅读量232

点赞数

文章标签： http html https

本文链接：https://blog.csdn.net/MZYJP/article/details/124876025

版权

说一下http和https

(1) http和https的基本概念

http: 超文本传输协议，是一个客户端和服务器端请求和应答的标准，用于从WWW服务器传输超文本到本地浏览器的传输协议，它可以使浏览器更加高校，使网络传输减少。

https：是以安全为目标的HTTP通道，简单讲是HTTP的安全版，即HTTP下加入了SSL层，https协议的主要作用是：建立一个信息安全通道，来确保数组的传输，确保网站的真实性。

(2) http和https的区别

http传输的数据都是未加密的，也就是明文的，https则是具有安全性的ssl加密传输协议。

同时他俩也使用不同的链接方式，端口也不同，一般而言，http协议的端口为80，https的端口为443

http的连接很简单，是无状态的。HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全

(3)https协议的工作原理

客户使用https url访问服务器，则要求web服务器建立ssl链接

web服务器接收到客户端的请求之后，会将网站的证书(证书中包含了公钥),返回或者说传输给客户端。

客户端和web服务器端开始协商SSL链接的安全等级，也就是加密等级。

客户端浏览器通过双方协商一致的安全等级，建立会话密钥，然后通过网站的公钥来加密会话密钥，并传送给网站。

web服务器通过自己的私钥解密出会话密钥。

web服务器通过会话密钥加密客户端之间的通信。

(4)https协议的优点

使用HTTPS协议可认证用户和服务器，确保数据发送到正确的客户机和服务器

HTTPs要比http协议安全

HTTPS是线性架构下最安全的解决反感，虽然不是绝对安全，但是它大幅增加了中间人攻击的成本

(5)https协议的缺点

https握手结局按比较费时

https缓存不如http高效

SSL证书也需要钱

SSL证书需要绑定IP

tcp三次握手，一句话概括

客户端和服务端都需要直到各自可收发，因此需要三次握手。

三次握手可以简化为： C发起请求连接S确认，也发起链接C确认。第一次握手：S只可以确认，自己可以接受C发送的报文段第二次握手：C可以确认S收到了自己发送的报文段，并且可以确认，自己可以接受S发送的报文段，并且可以确认自己可以接受S发送的报文段第三次握手：S可以确认C收到了自己发送的报文段。

TCP和UDP的区别

TCP是面向链接的，UDP是无连接的，就是发送数据前不需要先建立连接

TCP是可靠的，它传送的数据无差错，不丢失。UDP则不保证可靠交付

TCP是面向字节流的，UDP是面向报文的（并且网络出现拥塞不会使得发送速率降低）

TCP只能是一对一的，UDP支持一对一，一对多

TCP首部较大只有20个字节，而UDP只有8个字节

WebSocket的实现和应用！！！

WebSocket是HTML5中的一个i下而已，支持持久连续的链接，http协议不支持持久连接

HTTP的请求方式，HEAD方式！！！

head：类似于get请求，只不过返回的响应中没有具体的内容，用户获取报头

options: 允许客户端查看服务器的性能，比如说服务器支持的请求方式等等。

一个图片url访问后直接下载怎样实现！！！

说一下web Quality(无障碍)

能够被残障人士使用的网站才能称得上一个易用的（易访问的）网站。残障人士指的是那些带有残疾或者身体不健康的用户。使用 alt 属性： [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FIIlc2vk-1653005791380)(person.jpg)] 有时候浏览器会无法显示图像。具体的原因有：用户关闭了图像显示浏览器是不支持图形显示的迷你浏览器浏览器是语音浏览器（供盲人和弱视人群使用) 如果您使用了 alt 属性，那么浏览器至少可以显示或读出有关图像的描述。

几个很实用的BOM属性对象方法 !!!

什么是Bom? Bom是浏览器对象，有哪些常用的Bom属性呢？

(1)location对象

location.href – 返回或者设置当前文档的URL

location.search-- 返回URL中查询字符串部分，例如：http://www.baidu.com?id=5 返回包括(?)后面的内容？id=5

location.hash – 返回URL#后面的内容，如果没有#，则返回空

location.host – 返回URL中的域名部分，例如www.baidu.com

location.hostname – 返回URL中的主域名部分，例如baidu.com

location.pathname – 返回URL的域名后的部分，例如：https://www.baidu.com/xhtml/ 返回/xhtml/

location.port – 返回URL中的端口部分，例如：https://www.baidu.com:8080 返回8080

location.protocol – 返回URL中的写一部分例如: https://www.baidu.com 返回 https:

location.assign --设置当前文档URL

location.replace() – 设置当前文档的URL，并且在history对象的地址列表中移除这个URL location.replace(url)

location.reload() – 重载当前页面

(2)history对象

history.go()-- 签订或后退指定的页面数 history.go(num)

history.back() – 后退一页

history.forward()–前进一页

(3)Navigator对象

navigator.userAgent – 返回用户代理头的字符串表示(就是包括浏览器版本信息等的字符串)

navigator.cookieEnabled – 返回浏览器是否支持启用(cookie)

说一下HTML5 drag api!!!

说一下http2.0

提升访问速度

允许多路复用：多路复用允许同时通过单一的HTTP/2链接发送多多重请求-响应信息，改善了:在http1.1中，浏览器客户端在同一事件，针对同一域名下的请求有一定数量的限制(连接数量),超过限制会被堵塞。

二进制分帧：HTTP2.0会将所有的传输信息分割为更小的信息或者帧，并对他们进行二进制编码

首部压缩、服务器端推送

补充400和401、403状态码

(1)400状态码：请求无效

前端提交数据的字段名称和字段类型与后台的实体没有保持一致前端提交到后台的数据应该是 json 字符串类型，但是前端没有将对象 JSON.stringify 转化成字符串。

解决方法：对照字段的名称，保持一致性将 obj 对象通过 JSON.stringify 实现序列化

(2)401 状态码：当前请求需要用户验证

(3)403 状态码：服务器已经得到请求，但是拒绝执行

fetch发送2次请求的原因

fetch 发送 post 请求的时候，总是发送 2 次，第一次状态码是 204，第二次才成功？原因很简单，因为你用 fetch 的 post 请求的时候，导致 fetch 第一次发送了一个 Options 请求，询问服务器是否支持修改的请求头，如果服务器支持，则在第二次中发送真正的请求

Cookie、sessionStorage、localStorage的区别

共同点: 都是保存在浏览器端，并且都是同源的

Cookie: cookie数据始终在同源的http请求中携带(即时不需要),即cookie在浏览器和服务器间来会传递，而sessionStorage和localStorage不自动把数据发送给服务器，只在本地保存，cookie数据还有路径(path)的概念，可以限制cookie只属于某个路径下，存储的大小很小只有4K左右。

sessionStorage: 仅在当前浏览器窗口关闭前有效，自然也就不可能持久保持，localStorage:始终有效，串口或浏览器关闭也一直保存，因此作持久数据；cookei值在设置的cookie过期事件之前一直有效，即时窗口或浏览器关闭。(本身就是一个会话过程，关闭浏览器后小时，session为一个会话，当页面不同即时是同一页面打开两次，也被是为同一次会话)

localStorage: localStorage在所有同源窗口中都是共享的: cookie也是在所有同源窗口中都是共享的。(key:同源窗口都会共享，并且不会失效，不管窗口或者浏览器关闭与否都会始终生效)

补充说明一下 cookie 的作用：保存用户登录状态。例如将用户 id 存储于一个 cookie 内，这样当用户下次访问该页面时就不需要重新登录了，现在很多论坛和社区都提供这样的功能。 cookie 还可以设置过期时间，当超过时间期限后，cookie 就会自动消失。因此，系统往往可以提示用户保持登录状态的时间：常见选项有一个月、三个月、一年等。跟踪用户行为。例如一个天气预报网站，能够根据用户选择的地区显示当地的天气情况。如果每次都需要选择所在地是烦琐的，当利用了 cookie 后就会显得很人性化了，系统能够记住上一次访问的地区，当下次再打开该页面时，它就会自动显示上次用户所在地区的天气情况。因为一切都是在后台完成，所以这样的页面就像为某个用户所定制的一样，使用起来非常方便定制页面。如果网站提供了换肤或更换布局的功能，那么可以使用 cookie 来记录用户的选项，例如：背景色、分辨率等。当用户下次访问时，仍然可以保存上一次访问的界面风格。

说一下web worker

在 HTML 页面中，如果在执行脚本时，页面的状态是不可相应的，直到脚本执行完成后，页面才变成可相应。web worker 是运行在后台的 js，独立于其他脚本，不会影响页面你的性能。并且通过 postMessage 将结果回传到主线程。这样在进行复杂操作的时候，就不会阻塞主线程了。如何创建 web worker：检测浏览器对于 web worker 的支持性创建 web worker 文件（js，回传函数等）创建 web worker 对象

对HTML语义化标签的理解

HTML5 语义化标签是指正确的标签包含了正确的内容，结构良好，便于阅读，比如 nav 表示导航条，类似的还有 article、header、footer 等等标签。

iframe是什么？有什么缺点

定义：iframe 元素会创建包含另一个文档的内联框架

提示：可以将提示文字放在之间，来提示某些不支持 iframe 的浏览器缺点：会阻塞主页面的 onload 事件搜索引擎无法解读这种页面，不利于 SEO iframe 和主页面共享连接池，而浏览器对相同区域有限制所以会影响性能。

Doctype作用？严格模式和混杂模式如何区分？他们有何意义？

Doctype 声明于文档最前面，告诉浏览器以何种方式来渲染页面，这里有两种模式，严格模式和混杂模式。严格模式的排版和 JS 运作模式是以该浏览器支持的最高标准运行。混杂模式，向后兼容，模拟老式浏览器，防止浏览器无法兼容页面。

Cookie如何让防范XSS攻击

XSS（跨站脚本攻击）是指攻击者在返回的 HTML 中嵌入 javascript 脚本，为了减轻这些攻击，需要在 HTTP 头部配上，set-cookie： httponly-这个属性可以防止 XSS,它会禁止 javascript 脚本来访问 cookie。 secure - 这个属性告诉浏览器仅在请求为 https 的时候发送 cookie

Cookie和session的区别

HTTP 是一个无状态协议，因此 Cookie 的最大的作用就是存储 sessionId 用来唯一标识用户

一句话概括RESTERFUL

就是用 URL 定位资源，用 HTTP 描述操作。

讲讲viewport和移动端布局

click在ios上有300延迟，原因及如何解决？

(1)粗暴型，禁用缩放 (2)利用 FastClick，其原理是：检测到 touchend 事件后，立刻出发模拟 click 事件，并且把浏览器 300 毫秒之后真正出发的事件给阻断掉

addEventListener参数

addEventListener(event, function, useCapture)

其中，event 指定事件名；function 指定要事件触发时执行的函数；useCapture 指定事件是否在捕获或冒泡阶段执行。

cookie sessionStorage lacalStorage区别

cookie 数据始终在同源的 http 请求中携带(即使不需要)，即 cookie 在浏览器和服务器间来回传递 cookie 数据还有路径（path）的概念，可以限制。cookie 只属于某个路径下存储大小限制也不同，cookie 数据不能超过 4K，同时因为每次 http 请求都会携带 cookie，所以 cookie 只适合保存很小的数据，如回话标识。 webStorage 虽然也有存储大小的限制，但是比 cookie 大得多，可以达到 5M 或更大数据的有效期不同 sessionStorage：仅在当前的浏览器窗口关闭有效；localStorage：始终有效，窗口或浏览器关闭也一直保存，因此用作持久数据；cookie：只在设置的 cookie 过期时间之前一直有效，即使窗口和浏览器关闭作用域不同 sessionStorage：不在不同的浏览器窗口中共享，即使是同一个页面； localStorage：在所有同源窗口都是共享的；cookie：也是在所有同源窗口中共享的

cookie session区别

cookie 数据存放在客户的浏览器上，session 数据放在服务器上。
cookie 不是很安全，别人可以分析存放在本地的 COOKIE 并进行 COOKIE 欺骗考虑到安全应当使用 session。
session 会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能考虑到减轻服务器性能方面，应当使用 COOKIE
单个 cookie 保存的数据不能超过 4K，很多浏览器都限制一个站点最多保存 20 个 cookie

介绍知道的http返回的状态码

状态码	标识信息	含义
100	continue	继续，客户端应继续其请求
101	Switching Protocols	切换协议，服务器根据客户端的请求切换协议，只能切换到更高级的协议。例如，切换到HTTP的新版本协议
200	OK	请求成功
201	Created	一创建，成功请求并创建了新的资源
202	Accepted	已经接受请求，但未处理完成
203	Non-Authoritative Infomation	非授权信息。请求成功。但返回的meta的信息不在原始的服务器，而是一个副本
204	No Content	无内容。服务器成功处理，但未返回内容。在未更新网页的情况下，可确保浏览器继续显示当前文档
205	Reset Content	重置内容。服务器处理成功，用户终端(例如：浏览器)应重置文档视图，可通过此返回码清楚浏览器的表单域
206	Partial Content	部分内容。服务器成功处理了部分GET请求
300	Multiple Choice	多种选择。请求的资源可包括多个位置，相应可返回一个资源特征与地址的列表用于用户终端
301	Move Permanently	永久移动，请求的资源已被永久地移动到新URL，返回信息会包括新的URI，浏览器会自动定向到新URI，今后
302	Found	临时移动，与301类似，但资源只是临时波动，客户端应继续使用原有的URL
303	see Other	查看其他地址，与301类似，使用GET和POST请求查看
304	Not Modifed	未修改。所请求的资源未修改，服务器返回此状态码时，不会返回任何资源。客户端通常会缓存访问过的资源，通过提供一个头信息指出客户端希望只返回在指定日期之后修改的资源
305	Use Proxy	使用代理，所请求的资源必须通过代理访问
306	Unused	已经被废弃的HTTP状态码
307	Temporary Redirect	临时重定向。与302类似。使用GET请求重定向
400	Bad Request	客户端请求的语法错误，服务器无法理解
401	Unauthorized	请求要求用户的身份证
402	Payment Required	保留，将来使用
403	Forbidden	服务器理解请求客户端的请求，但是拒绝执行此请求
404	Not Found	服务器无法根据客户端的请求找到资源（网页）。通过此代码，网站设计人员可设置"您所请求的资源无法找到"的个性页面
405	Method Not Allowed	客户端请求中的方法被禁止
406	Not Acceptable	服务器无法根据客户端请求的内容特性完成请求
408	Request Time-out	服务器等待客户端发送的请求时间过长
409	Conflict	服务器完成客户端的 PUT 请求是可能返回此代码，服务器处理请求时发生了冲突
410	Gone	客户端请求的资源已经不存在。410 不同于 404，如果资源以前有现在被永久删除了可使用 410 代码，网站设计人员可通过 301 代码指定资源的新位置
411	Length Required	服务器无法处理客户端发送的不带 Content-Length 的请求信息
412	Precondition Failed	客户端请求信息的先决条件错误
413	Request Entity Too Large	由于请求的实体过大，服务器无法处理，因此拒绝请求。为防止客户端的连续请求，服务器可能会关闭连接。如果只是服务器暂时无法处理，则会包含一个 Retry-After 的响应信息
414	Request-URI Too Large	请求的 URI 过长（URI 通常为网址），服务器无法处理
415	Unsupported Media Type	服务器无法处理请求附带的媒体格式
416	Requested range not satisfiable	客户端请求的范围无效
417	Expectation Failed	服务器无法满足 Expect 的请求头信息
500	Internal Server	服务器内部错误，无法完成请求
501	Not Implement	服务器不支持请求的功能，无法完成请求
502	Bad Gateway	作为网关或者代理工作的服务器尝试执行请求时，从远程服务器接收到了一个无效的响应
503	Service Unavailable	由于超载或系统维护，服务器暂时的无法处理客户端的请求。延时的长度可包含在服务器的 Retry-After 头信息中
504	Gateway Time-out	充当网关或代理的服务器，未及时从远端服务器获取请求
505	HTTP Version not supported	服务器不支持请求的 HTTP 协议的版本，无法完成处理

http常用请求头

强，协商缓存

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HA4ESgqS-1653005791382)(C:\Users\MJ\AppData\Roaming\Typora\typora-user-images\image-20220520004340302.png)]

强缓存相关字段有 expires，cache-control。如果 cache-control 与 expires 同时存在的话， cache-control 的优先级高于 expires。协商缓存相关字段有 Last-Modified/If-Modified-Since，Etag/If-None-Match

讲讲304

304：如果客户端发送了一个带条件的 GET 请求且该请求已被允许，而文档的内容（自上次访问以来或者根据请求的条件）并没有改变，则服务器应当返回这个 304 状态码

强缓存、协商缓存什么时候用哪个

因为服务器上的资源不是一直固定不变的，大多数情况下它会更新，这个时候如果我们还访问本地缓存，那么对用户来说，那就相当于资源没有更新，用户看到的还是旧的资源；所以我们希望服务器上的资源更新了浏览器就请求新的资源，没有更新就使用本地的缓存，以最大程度的减少因网络请求而产生的资源浪费。

前端优化

降低请求量：合并资源，减少 HTTP 请求数，minify / gzip 压缩，webP，lazyLoad。加快请求速度：预解析 DNS，减少域名数，并行加载，CDN 分发。缓存：HTTP 协议缓存请求，离线缓存 manifest，离线数据缓存 localStorage。渲染：JS/CSS 优化，加载顺序，服务端渲染，pipeline。

GET和POST的区别

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eKTxduCS-1653005791382)(C:\Users\MJ\AppData\Roaming\Typora\typora-user-images\image-20220520004713601.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7tuCdixg-1653005791383)(C:\Users\MJ\AppData\Roaming\Typora\typora-user-images\image-20220520004725410.png)]

301和302的区别

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CV4FzjJA-1653005791383)(C:\Users\MJ\AppData\Roaming\Typora\typora-user-images\image-20220520005106397.png)]

HTTP支持的方法

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mt5CYyTw-1653005791383)(C:\Users\MJ\AppData\Roaming\Typora\typora-user-images\image-20220520005151851.png)]

如何画一个三角形

div { width:0px; height:0px; border-top:10px solid red; border-right:10px solid transparent; border-bottom:10px solid transparent; border-left:10px solid transparent; }

状态码304和200

状态码 200：请求已成功，请求所希望的响应头或数据体将随此响应返回。即返回的数据为全量的数据，如果文件不通过 GZIP 压缩的话，文件是多大，则要有多大传输量。状态码 304：如果客户端发送了一个带条件的 GET 请求且该请求已被允许，而文档的内容（自上次访问以来或者根据请求的条件）并没有改变，则服务器应当返回这个状态码。即客户端和服务器端只需要传输很少的数据量来做文件的校验，如果文件没有修改过，则不需要返回全量的数据。

说一下浏览器缓存

缓存分为两种：强缓存和协商缓存，根据响应的 header 内容来决定。强缓存相关字段有 expires，cache-control。如果 cache-control 与 expires 同时存在的话， cache-control 的优先级高于 expires。协商缓存相关字段有 Last-Modified/If-Modified-Since，Etag/If-None-Match

HTML5新增的元素

首先 html5 为了更好的实践 web 语义化，增加了 header，footer，nav,aside,section 等语义化标签，在表单方面，为了增强表单，为 input 增加了 color，emial,data ,range 等类型，在存储方面，提供了 sessionStorage，localStorage,和离线存储，通过这些存储方式方便数据在客户端的存储和获取，在多媒体方面规定了音频和视频元素 audio 和 vedio，另外还有地理定位，canvas 画布，拖放，多线程编程的 web worker 和 websocket 协议。

在地址栏里输入一个URL，到这个页面呈现出来，中间会发生什么

输入url后，首先需要找到这个url域名服务器ip，为了寻找这个ip，浏览器首先会寻找缓存，查看缓存中是否有记录，缓存的查找记录未：浏览器缓存-》系统缓存-》路由器缓存，缓存中没有则查找系统的hosts文件中是否有记录，如果没有则查询DNS服务器，得到服务器的ip地址后，浏览器根据这个ip以及响应的端口号，构造一个http请求，这个请求报文会包括这次请求的信息，主要是请求方法，请求说明和请求附带的数据，并将这个请求报文会包括这次请求的信息，主要是请求方法，请求说明和请求附带的数据，并将这个http请求封装在一个tcp包中，这个tcp包回一次经过传输层，网络层，数据链路层，物理层到达服务器，服务器解析这个请求来做出响应，返回响应的html给浏览器，因为html是一个树形结构，浏览器根据这个html来构建DOM树，在dom树的构建过程中如果遇到JS脚本和外部JS连接，则会停止构建DOM树来执行和下载相应的代码，这回造成阻塞，这就是为什么推荐js代码应该放在html代码的后边，之后根据外部样式和内部样式，以及内联眼视光hi构建一个css对象模型树，CSS、DOM树，在构建完成之后和DOM树合并为渲染树，这里主要做的是排除非视觉节点，比如script，meta标签和排除display为none的节点，之后进行布局，布局主要是确定各个元素的位置和尺寸，之后是渲染页面，因为html文件中会含有图片，时评，音频等资源，在解析DOM的过程中，遇到这些都会进行并行下载，浏览器对每个域的并行下载数量有一定的限制，一般是4-6个，当然在这些所有的请求中我们还需要关注的就是缓存，缓存一般通过Cache-Control、Last-Modify、Expires等首部字段控制，Cache-Control和Expires的区别在于Cache-Control使用相对时间，Expires使用的是基于服务器端的绝对是件，因为存在时差问题，一般采用Cache-Control，在请求这些有设置了缓存的数据时，回显查看是否过期，如果没有过期则直接使用本地缓存，过期则请求并在服务器校验文件是否修改，如果没有过期则直接使用本地缓存，过期则请求并在服务器校验文件是否修改，如果上一次相应设置了ETag值会在这次请求的时候作为IF-None-Match的值交给服务器校验，如果一致，继续校验Last-Modified,没有设置ETag则直接验证Last-Modified,再决定是否返回304.

cookie和session的区别，localstorage和sessionstorage的区别

Cookie和session:

1、cookie存放在客户端，session存放在服务器端

2、cookie存放在客户端有可能被窃取，所以cookie一般用来存放不敏感的信息

3、cookie可以通过服务器段相应的时候设置，也可以通过客户端通过JS设置，这个时候会在请求的时候再http首部发送给客户端，cookie一般在客户端有大小限制，一般为4K。

生命周期：

1、cookie可设置失效时间，否则默认关闭浏览器后失效

2、Localstorage 除非被手动清楚，否则永久保存

3、Sessionstorage 仅在当前网页会话下有效，关闭页面或浏览器后就会被清楚

忖放数据：

cookie是4k左右

LocalStorage和sessionstorage可以保存5M的信息

http请求：

每次都会携带再http投中，如果使用cookie保存过多数据会带来性能问题

其他两个：今在客户端即浏览器中保存，不参与和服务器的通信

易用性：

cookie：需要程序员自己封装

其他俩个：有原生接口也可再次封装

·应用场景：从安全性来说，因为每次 http 请求都回携带 cookie 信息，这样子浪费了带宽，所以 cookie 应该尽可能的少用，此外 cookie 还需要指定作用域，不可以跨域调用，限制很多，但是用户识别用户登陆来说，cookie还是比storage好用，其他情况下可以用storage，localstorage 可以用来在页面传递参数，sessionstorage 可以用来保存一些临时的数据，防止用户刷新页面后丢失了一些参数。

常见的HTTP的头部

可以将http首部分为通用首部，请求首部，响应首部，实体首部。

通用首部标识一些通用的信息，比如说date标识保温创建时间。

请求首部就是请求报文中独有的，如cookie，和缓存相关的如if-Modified-since

相应首部就是响应报文中独有的，如set-cookie，和重定向相关的location，

实体首部用力啊描述实体部分，如allow用力啊描述可执行的请求方法，content-type描述主题类型，content-Encoding描述主体的编码方式

HTTP2.0的特性

http2.0 的特性如下： 1、内容安全，应为 http2.0 是基于 https 的，天然具有安全特性，通过 http2.0 的特性可以避免单纯使用 https 的性能下降 2、二进制格式，http1.X 的解析是基于文本的，http2.0 将所有的传输信息分割为更小的消息和帧，并对他们采用二进制格式编码，基于二进制可以让协议有更多的扩展性，比如引入了帧来传输数据和指令 3、多路复用，这个功能相当于是长连接的增强，每个 request 请求可以随机的混杂在一起，接收方可以根据 request 的 id 将 request 再归属到各自不同的服务端请求里面，另外多路复用中也支持了流的优先级，允许客户端告诉服务器那些内容是更优先级的资源，可以优先传输

cache-control的值有哪些

cache-control 是一个通用消息头字段被用于 HTTP 请求和响应中，通过指定指令来实现缓存机制，这个缓存指令是单向的，常见的取值有 private、no-cache、max-age、 must-revalidate 等，默认为 private。

浏览器在生成页面的时候，会生成哪两颗树

构造两棵树，DOM 树和 CSSOM 规则树，当浏览器接收到服务器相应来的 HTML 文档后，会遍历文档节点，生成 DOM 树， CSSOM 规则树由浏览器解析 CSS 文件生成。

csrf和xss的网络攻击及防范

CSRF：跨站请求伪造，可以理解为攻击者盗用了用户的身份，以用户的名义发送了恶意请求，比如用户登录了一个网站后，立刻在另一个ｔａｂ页面访问量攻击者用来制造攻击的网站，这个网站要求访问刚刚登陆的网站，并发送了一个恶意请求，这时候 CSRF 就产生了，比如这个制造攻击的网站使用一张图片，但是这种图片的链接却是可以修改数据库的，这时候攻击者就可以以用户的名义操作这个数据库，防御方式的话：使用验证码，检查 https 头部的 refer，使用 token

XSS：跨站脚本攻击，是说攻击者通过注入恶意的脚本，在用户浏览网页的时候进行攻击，比如获取 cookie，或者其他用户身份信息，可以分为存储型和反射型，存储型是攻击者输入一些数据并且存储到了数据库中，其他浏览者看到的时候进行攻击，反射型的话不存储在数据库中，往往表现为将攻击代码放在 url 地址的请求参数中，防御的话为 cookie 设置 httpOnly 属性，对用户的输入进行检查，进行特殊字符过滤。

怎么看网站的性能如何

检测页面加载时间一般有两种方式，一种是被动去测：就是在被检测的页面置入脚本或探针，当用户访问网页时，探针自动采集数据并传回数据库进行分析，另一种主动监测的方式，即主动的搭建分布式受控环境，模拟用户发起页面访问请求，主动采集性能数据并分析，在检测的精准度上，专业的第三方工具效果更佳，比如说性能极客。

介绍HTTP协议

HTTP 是一个基于 TCP/IP 通信协议来传递数据（HTML 文件, 图片文件, 查询结果等） HTTP 是一个属于应用层的面向对象的协议，由于其简捷、快速的方式，适用于分布式超媒体信息系统。它于 1990 年提出，经过几年的使用与发展，得到不断地完善和扩展。目前在 WWW 中使用的是 HTTP/1.0 的第六版，HTTP/1.1 的规范化工作正在进行之中，而且 HTTP-NG(Next Generation of HTTP)的建议已经提出。HTTP 协议工作于客户端-服务端架构为上。浏览器作为 HTTP 客户端通过 URL 向 HTTP 服务端即 WEB 服务器发送所有请求。Web 服务器根据接收到的请求后，向客户端发送响应信息

输入URL到页面加载显示完成发生了什么？

DNS 解析

TCP 连接

发送 HTTP 请求

服务器处理请求并返回 HTTP 报文

浏览器解析渲染页面

连接结束

说一下对Cookie和Session的认知，Cookie有哪些限制

cookie 数据存放在客户的浏览器上，session 数据放在服务器上。
cookie 不是很安全，别人可以分析存放在本地的 COOKIE 并进行 COOKIE 欺骗考虑到安全应当使用 session。
session 会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能考虑到减轻服务器性能方面，应当使用 COOKIE。
单个 cookie 保存的数据不能超过 4K，很多浏览器都限制一个站点最多保存 20 个 cookie。

描述一下XSS和CRSF攻击？防御方法？

XSS, 即为（Cross Site Scripting）, 中文名为跨站脚本, 是发生在目标用户的浏览器层面上的，当渲染 DOM 树的过程成发生了不在预期内执行的 JS 代码时，就发生了 XSS 攻击。大多数 XSS 攻击的主要方式是嵌入一段远程或者第三方域上的 JS 代码。实际上是在目标网站的作用域下执行了这段 JS 代码。 CSRF（Cross Site Request Forgery，跨站请求伪造），字面理解意思就是在别的站点伪造了一个请求。专业术语来说就是在受害者访问一个网站时，其 Cookie 还没有过期的情况下，攻击者伪造一个链接地址发送受害者并欺骗让其点击，从而形成 CSRF 攻击。 XSS 防御的总体思路是：对输入(和 URL 参数)进行过滤，对输出进行编码。也就是对提交的所有内容进行过滤，对 url 中的参数进行过滤，过滤掉会导致脚本执行的相关内容；然后对动态输出到页面的内容进行 html 编码，使脚本无法在浏览器中执行。虽然对输入过滤可以被绕过，但是也还是会拦截很大一部分的 XSS 攻击。防御 CSRF 攻击主要有三种策略：验证 HTTP Referer 字段；在请求地址中添加 token 并验证；在 HTTP 头中自定义属性并验证。

知道304吗，什么时候用304？

具体有哪些请求头是跟缓存相关的

cookie和session的区别

name 字段为一个 cookie 的名称。 value 字段为一个 cookie 的值。 domain 字段为可以访问此 cookie 的域名。非顶级域名，如二级域名或者三级域名，设置的 cookie 的 domain 只能为顶级域名或者二级域名或者三级域名本身，不能设置其他二级域名的 cookie，否则 cookie 无法生成。顶级域名只能设置 domain 为顶级域名，不能设置为二级域名或者三级域名，否则 cookie 无法生成。二级域名能读取设置了 domain 为顶级域名或者自身的 cookie，不能读取其他二级域名 domain 的 cookie。所以要想 cookie 在多个二级域名中共享，需要设置 domain 为顶级域名，这样就可以在所有二级域名里面或者到这个 cookie 的值了。顶级域名只能获取到 domain 设置为顶级域名的 cookie，其他 domain 设置为二级域名的无法获取。 path 字段为可以访问此 cookie 的页面路径。比如 domain 是 abc.com,path 是/test，那么只有/test 路径下的页面可以读取此 cookie。 expires/Max-Age 字段为此 cookie 超时时间。若设置其值为一个时间，那么当到达此时间后，此 cookie 失效。不设置的话默认值是 Session，意思是 cookie 会和 session 一起失效。当浏览器关闭(不是浏览器标签页，而是整个浏览器) 后，此 cookie 失效。 Size 字段此 cookie 大小。 http字段 cookie的httponly属性。若此属性为true，则只有在http请求头中会带有此cookie 的信息，而不能通过 document.cookie 来访问此 cookie。 secure 字段设置是否只能通过 https 来传递此条 cooki

cookie有哪些字段可以设置

cookie有哪些编码方式

除了cookie，还有什么存储方式，说说cookie和localStorage的区别

浏览器输入网址到页面渲染全过程

HTML5和CSS3用的多吗？你了解他们的新属性吗？有在项目中用到过吗

html5： 1）标签增删 8 个语义元素 header section footer aside nav main article figure

内容元素 mark 高亮 progress 进度

新的表单控件 calander date time email url search

新的 input 类型 color date datetime datetime-local email

移除过时标签 big font frame frameset

2）canvas 绘图，支持内联 SVG。支持 MathML

3）多媒体 audio video source embed track

4）本地离线存储，把需要离线存储在本地的文件列在一个 manifest 配置文件

5）web 存储。localStorage、SessionStorage css3： CSS3边框如border-radius，box-shadow等；CSS3背景如background-size，background-origin 等；CSS3 2D，3D 转换如 transform 等；CSS3 动画如 animation 等

http常见的请求方法

get、post，这两个用的是最多的，还有很多比如 patch、delete、put、options 等等

get和post的u区别

GET - 从指定的资源请求数据。 POST - 向指定的资源提交要被处理的数据。 GET：不同的浏览器和服务器不同，一般限制在 2~8K 之间，更加常见的是 1k 以内。 GET 和 POST 的底层也是 TCP/IP，GET/POST 都是 TCP 链接。 GET 产生一个 TCP 数据包；POST 产生两个 TCP 数据包。对于 GET 方式的请求，浏览器会把 http header 和 data 一并发送出去，服务器响应 200 （返回数据）；而对于 POST，浏览器先发送 header，服务器响应 100 continue，浏览器再发送 data，服务器响应 200 ok（返回数据）。

说说302，301，304的状态码

301 Moved Permanently 永久移动。请求的资源已被永久的移动到新 URI，返回信息会包括新的 URI，浏览器会自动定向到新 URI。今后任何新的请求都应使用新的 URI 代替 302 Found 临时移动。与 301 类似。但资源只是临时被移动。客户端应继续使用原有 URI 304 Not Modified 未修改。所请求的资源未修改，服务器返回此状态码时，不会返回任何资源。客户端通常会缓存访问过的资源，通过提供一个头信息指出客户端希望只返回在指定日期之后修改的资源

web性能优化

浏览器缓存机制

缓存分为两种：强缓存和协商缓存，根据响应的 header 内容来决定。

post和get的区别

回任何资源。客户端通常会缓存访问过的资源，通过提供一个头信息指出客户端希望只返回在指定日期之后修改的资源

web性能优化

浏览器缓存机制

缓存分为两种：强缓存和协商缓存，根据响应的 header 内容来决定。

post和get的区别

Fremount

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
Http-HTML-浏览器八股

说一下http和https(1) http和https的基本概念http: 超文本传输协议，是一个客户端和服务器端请求和应答的标准，用于从WWW服务器传输超文本到本地浏览器的传输协议，它可以使浏览器更加高校，使网络传输减少。https：是以安全为目标的HTTP通道，简单讲是HTTP的安全版，即HTTP下加入了SSL层，https协议的主要作用是：建立一个信息安全通道，来确保数组的传输，确保网站的真实性。(2) http和https的区别http传输的数据都是未加密的，也就是明文的，https则是
复制链接

扫一扫