1、post 进来的数据是 Buffer 类型,Buffer 一定可以 toString,结果是 ASCII 、乱码、json字符串、querystring
2、querystring.parse() 是安全的,它仅根据 & 和 = 两个符号切割
3、JSON.parse() 是不安全的,参数格式不对会抛异常,需要加 try catch
4、post 进来的数据的 Content-Type 可以约定仅支持三种普通类型:
text/plain //如果ajax没有设置content-type,默认就是它
application/x-www-form-urlencoded
application/json
5、如果有文件上传,传的是 ArrayBuffer,后端收到不需要 toString, 可以另加约定 Content-Type 为 :
file
6、对于跨站脚本攻击,不应当对每个请求都处理,仅需要对特定的处理函数处理
7、静态文件服务器需要指定目录,否则其他目录的文件也将被读取
8、post 请求可以设定固定格式的url,因为完全是背后处理
9、get 请求可能需要添加其他url格式的处理
10、html文件 js 和 css 按需拆分为单文件便于缓存,文件需要压缩处理
11、静态文件路径的正则如下:
/^\/Assets\/[\w]+\.[\w]{2,5}$/.test('/Assets/0f2aQEDf.s');