【面试】个人宝典 查缺补漏

最新推荐文章于 2024-05-20 11:42:26 发布
最新推荐文章于 2024-05-20 11:42:26 发布
阅读量308 收藏
点赞数
分类专栏: 面试 文章标签: 面试 javascript 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/minfcons/article/details/126902684
版权

CSS

1.

flex:auto;
flex-start, flex-end;
align-self: strech;

这次通过MDN仔细看了flex布局,才明白在flex布局中有很重要的概念是主轴和交叉轴
flex: auto我是很少用的,展开来对应属性是flex: flex-grow flex-shrink flex-basisflex: auto 代表着flex: 1 1 auto

JS

1. Virturl DOM

不定项选择:

A. 虚拟DOM能够一定程度保证性能下限
B. 虚拟DOM都是在内存中进行,不会操作DOM
C. 虚拟DOM是性能的最优解,比直接操作DOM快
D. 采用虚拟DOM的框架要比不采用虚拟DOM的框架性能好

这里查看虚拟DOM or diff算法

2. 宏任务

requestAnimationFrame ✅
MutationObserver ❎
宏任务微任务 Event loop

//例题
async function async1() {
  console.log('async1 start')
  await async2()  // await会阻塞进程并跳出
  console.log('async1 end')
}
 
async function async2() {
  console.log('async2')
}
 
console.log('script start')
setTimeout(function() {
  console.log('setTimeout')
}, 0)
 
async1(); 
   
new Promise( function( resolve ) {
 console.log('promise1')
 resolve();
} ).then( function() {
 console.log('promise2')
} )
 
console.log('script end')

课余知识

1. CSRF

2.XSS攻击

分类

1、反射型 (Reflected XSS ) 发出请求时,XSS代码出现在url中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。这个过程像一次反射,所以叫反射型XSS。

2、存储型存 Stored XSS和 Reflected XSS的差别就在于,具有攻击性的脚本被保存到了服务器端(数据库,内存,文件系统)并且可以被普通用户完整的从服务的取得并执行,从而获得了在网络上传播的能力。

3、DOM型 (DOM-based or local XSS) 即基于DOM或本地的 XSS 攻击:其实是一种特殊类型的反射型 XSS,它是基于 DOM文档对象模型的一种漏洞。可以通过 DOM来动态修改页面内容,从客户端获取 DOM中的数据并在本地执行。基于这个特性,就可以利用 JS脚本来实现 XSS漏洞的利用。

防御措施

  • 输入过滤,避免 XSS 的方法之一主要是将用户输入的内容进行过滤。对所有用户提交内容进行可靠的输入验证,包括对 URL、查询关键字、POST数据等,仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交,对其他的一律过滤。(客户端和服务器都要)
  • 输出转义,往 HTML 标签之间插入不可信数据的时候,首先要做的就是对不可信数据进行 HTML Entity 编码
function htmlEncodeByRegExp  (str){  
         var s = "";
         if(str.length == 0) return "";
         s = str.replace(/&/g,"&");
         s = s.replace(/</g,"&lt;");
         s = s.replace(/>/g,"&gt;");
         s = s.replace(/ /g,"&nbsp;");
         s = s.replace(/\'/g,"&#39;");
         s = s.replace(/\"/g,"&quot;");
         return s;  
 }
var tmpStr="<p>123</p>";   
var html=htmlEncodeByRegExp (tmpStr)
console.log(html) //&lt;p&gt;123&lt;/p&gt;
document.querySelector(".content").innerHTML=html; //<p>123</p>
  • 使用 HttpOnly Cookie ,将重要的cookie标记为httponly,这样的话当浏览器向Web服务器发起请求的时就会带上cookie字段,但是在js脚本中却不能访问这个cookie,这样就避免了XSS攻击利用JavaScript的document.cookie获取cookie。
  • 现代web开发框架如vue.js、react.js等,在设计的时候就考虑了XSS攻击对html插值进行了更进一步的抽象、过滤和转义,我们只要熟练正确地使用他们,就可以在大部分情况下避免XSS攻击。
少年歌行s
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为HCIE存储面试宝典
10-07
华为HCIE存储面试宝典
android面试宝典pdf,查缺补漏
2401_84899878的博客
05-15 788
自我介绍一下,小编13年北京科技大学毕业,曾经在字节跳动待过,也去过vivo、小米等大厂,18年进入华为一直到现在。小编这些年深知大多数初中级Android工程师,想要提升自己,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此我收集整理了一份《2024年Android移动开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担,能在岗位上再创辉煌,步步高升!!。
Java基础 | 牛客网官方《面试宝典》| 自制思维导图式查缺补漏 | 无知的我学习日记
无知的人博客
04-20 672
学完Java基础知识之后无知的我,利用该笔记构建、巩固自身知识体系或查缺补漏或方便记忆。
【Java面试八股文宝典之基础篇】备战2023 查缺补漏 你越早准备 越早成功!!!——Day08
专注于Java领域开发 关注我 带你玩转Java
11-18 1154
2023年Java程序员面试计划,吃透这套Java面试题大厂offer随便拿,收藏好了明年一定能用上!
【Java面试八股文宝典之基础篇】备战2023 查缺补漏 你越早准备 越早成功!!!——Day13
专注于Java领域开发 关注我 带你玩转Java
12-20 451
2023年Java程序员面试计划,吃透这套Java面试题大厂offer随便拿,收藏好了明年一定能用上!
Java面试宝典.pdf
02-16
Java面试宝典.pdf
MySQL数据库面试宝典1.pdf
06-16
MySQL数据库面试宝典
python面试宝典
06-14
python面试宝典,该宝典是一份知识点全面又能不断更新,与时俱进的学习手册,不仅收录了作者亲身面试遇到的问题,还收录了近上万名黑马学子面试时遇到的问题。
程序员面试宝典#程序员面试宝典
03-01
程序员面试宝典#问答式教程 如:①.原则上我会尊重和服从领导的工作安排,同时私底下找机会以请教的口吻,婉转地表达自己的想法,看看领导是否能改变想法。②如果领导没有采纳我的建议,我也同样会按领导的要求认真...
温故而知新-秒杀项目篇【面试复习】
最新发布
小心星的博客
05-20 585
温故而知新-秒杀项目篇【面试复习】
4. Java多线程面试题汇总
weixin_42173947的博客
05-17 965
Java多线程面试题汇总
Java面试总结(北京两年经验)
weixin_54673155的博客
05-18 948
自我介绍+项目介绍。
西南交通大学计算机考研难吗?西南交通大学计算机考研考情分析!
m0_72717598的博客
05-16 323
西南交通大学信息科学与技术学院成立于1985年(原计算机科学与工程系),学院下设五个系,即计算机科学与技术系,软件工程系,自动化系,通信工程系,电子信息工程系,20多年来,学院已培养出研究生700余名,本科生近5000名,毕业生遍布全国各地,其中不少已成为国内外知名专家、学者。创新精神和能力、专业兴趣和素养等。复试要对考生的既往学业情况、外语听说交流能力、专业素质和科研创新能力,以及综合素质和一贯表现等进行全面考查,主要考核内容包括思想政治素质和道德品质、外语听说能力、专业素质和能力、综合素质及能力。
简历--个人信息--通用
stqer的博客
05-19 319
我在招聘的过程中就碰到过一份简历,一个男生,把自己 1 米 6 多点的个儿写了出来,我只能说这孩子太实在,他很可能是想向招聘者表明自己不是很高,其实,过早的暴露这些无关紧要的信息,很可能让你失去展示自己其他优点的机会,道理很简单,不是所有公司都象我们一样对身高没有要求。写名字,你得让我们知道你是张三不是李四,否则真让你面试,都不知怎么称呼你,总不能让我们一开口就说:“那谁,明天几点到哪儿面试!我们这样的公司,对党员还是很看重的,所以如果你是党员,一定要注明,在同等条件下,你绝对有优势。
尊享面试.验证二叉树的前序遍历(python)
W_extend的博客
05-17 233
加入10,4,3,6之后,再加入的数字num在( num<=4),那么肯定不行,在(4<num<6),可以加在6的左子树,在(6<num<10),可以加在6的右子树,在(10<num),可以加在10的右子树。就是说 (num<=4)不行,(4<num)行。每次加入栈中的元素都是(栈顶元素)的左子树的值,(最后弹出的元素)是即将加入数字num的父节点,num是(最后弹出的元素)的右子树的值。(维护每次弹出元素的最大值)是新加入num底线,num必须大于这个值,否则不是二叉搜索树。维护每次弹出元素的最大值。
16. Elasticsearch面试题汇总
weixin_42173947的博客
05-20 782
16. Elasticsearch面试题汇总
总结0519
qq_58259539的博客
05-19 203
通过这次面试,我也知道,原来,面试不一定需要专业技能有多强,而是需要你如何向面试官证明,你如何能胜任这项工作,并有把握把它做好。写这篇文章的目的,也是为了告诉自己,无论理想也好,目标也罢,无论大小,想要实现的话,你必须要进步,是的,是进步,而不是行动。想要进步,必须写总结。考研失利,花了两个月才走出来,后面省考,没怎么上心,没考上对我来说没多大影响,本想着换个状态,积极找工作,没想到处处碰壁,说不焦虑才怪。今天有点小烦躁,想写点东西,写完后,估计心情也会好些,毕竟,这属于与自己的对话。
【Golang】gopsutil包常用监控资源信息API
寸铁的博客
05-18 856
【Golang】gopsutil包常用监控资源信息API 本文涵盖了最常用的系统资源监控函数,可以直接拿函数进行调用,非常方便!
面试宝典面试必备c++
01-27
面试宝典是一本非常实用的面试必备书籍,它包含了丰富的面试题目和答案解析,但也覆盖了面试的各个环节和技巧。在准备面试时,我们可以通过这本书来了解常见的面试问题,以及如何进行有效的回答。面试宝典还提供了一些成功面试的技巧和建议,帮助我们在面试中表现出自信和专业。另外,这本书还包含了一些常见面试场景的应对策略,让我们在面对各种问题时能够从容地应对。总的来说,面试宝典是一本非常实用的面试指南,对于正在求职或者准备面试的人来说,是一本不可或缺的工具书。它可以帮助我们更好地准备和规划面试过程,提高我们的面试成功率。在职场竞争日益激烈的当下,拥有一本面试宝典是非常有必要的,它可以帮助我们更好地了解并掌握面试技巧,让我们在面试中更加游刃有余。因此,我强烈推荐面试宝典作为面试必备的读物。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值