每日三问-前端（第二十六期）

先来回顾一下上期的问题及答案：

问题1：在前端开发中，单向数据流（One-Way Data Flow）和双向数据绑定（Two-Way Data Binding）的区别、优缺点和适用场景。

单向数据流是指数据在应用中的流动方向是单向的，从父组件流向子组件，子组件不能直接修改父组件的数据。这种模式使得数据流动更加可控和可预测，易于调试和维护。在单向数据流中，父组件通过属性将数据传递给子组件，子组件接收到数据后进行展示或处理，但不能直接修改数据，只能通过触发事件通知父组件进行数据更新。

双向数据绑定是指数据在应用中可以在模型层和视图层之间进行双向的绑定，当一个地方的数据发生变化时，另一个地方的数据也会自动更新。这种模式可以实现实时的数据同步，减少了手动操作的复杂性。但双向数据绑定可能会导致数据流动不够明确，难以追踪和排查问题，尤其在大型应用中会增加复杂性。

适用场景：

• 单向数据流适用于对数据流动有严格控制要求的场景，尤其是在大型应用中，能够更好地追踪和调试数据变化。

• 双向数据绑定适用于需要实时同步数据的场景，例如表单输入、实时编辑等，可以减少手动操作的繁琐性。

示例代码： 单向数据流示例：

<template>
  <div>
    <h1>{{ message }}</h1>
    <child-component :data="message"></child-component>
  </div>
</template>

<script>
import ChildComponent from './ChildComponent.vue';

export default {
  data() {
    return {
      message: 'Hello World'
    };
  },
  components: {
    ChildComponent
  }
};
</script>

双向数据绑定示例：

<template>
  <div>
    <input v-model="message">
    <p>{{ message }}</p>
  </div>
</template>

<script>
export default {
  data() {
    return {
      message: ''
    };
  }
};
</script>

问题2：在前端开发中，渐进式网页应用（Progressive Web Application，PWA）的特点、优势和提供更好用户体验的方式。

渐进式网页应用是一种使用现代 Web 技术构建的网页应用程序，它具有接近原生应用的体验，可以在不同的设备和平台上运行。PWA 的特点和优势包括：

• 响应式：PWA 可以根据设备和屏幕大小进行自适应布局和响应式设计，提供一致的用户体验。

离线访问：PWA 可以使用 Service Worker 技术进行缓存管理，使得应用在离线或网络不稳定的情况下仍然可访问，提供更好的离线体验。

• 安装性：PWA 可以通过添加到主屏幕或应用商店进行安装，使用户可以像原生应用一样访问应用，提供更好的可发现性和使用便捷性。

• 推送通知：PWA 可以使用推送通知功能，向用户发送定制化的通知消息，增强用户参与度和留存率。

• 更新管理：PWA 可以通过 Service Worker 实现自动更新，使得应用在后台自动更新，用户无需手动更新应用。

示例代码： PWA 的关键部分是 Service Worker，以下是一个简单的 Service Worker 注册和缓存静态资源的示例：

// sw.js
self.addEventListener('install', (event) => {
  event.waitUntil(
    caches.open('my-cache').then((cache) => {
      return cache.addAll([
        '/',
        '/styles.css',
        '/script.js',
        '/image.png'
      ]);
    })
  );
});

self.addEventListener('fetch', (event) => {
  event.respondWith(
    caches.match(event.request).then((response) => {
      return response || fetch(event.request);
    })
  );
});

<!-- index.html -->
<!DOCTYPE html>
<html>
  <head>
    <title>PWA Example</title>
  </head>
  <body>
    <h1>Hello PWA!</h1>
    <script>
      if ('serviceWorker' in navigator) {
        navigator.serviceWorker.register('/sw.js')
          .then((registration) => {
            console.log('Service Worker registered:', registration);
          })
          .catch((error) => {
            console.error('Service Worker registration failed:', error);
          });
      }
    </script>
  </body>
</html>

问题3：在前端开发中，跨站点脚本攻击（Cross-Site Scripting，XSS）的原理、攻击方式和防范方法。

跨站点脚本攻击（XSS）是指攻击者通过在受信任的网站上注入恶意脚本，从而在用户浏览器中执行恶意代码，窃取用户敏感信息或进行其他恶意操作。XSS 攻击的常见方式包括：

• 存储型 XSS：攻击者将恶意脚本存储到目标网站的数据库中，当用户访问包含恶意脚本的页面时，脚本会被执行。

• 反射型 XSS：攻击者构造包含恶意脚本的 URL，诱使用户点击该 URL，在用户访问时，恶意脚本会被执行。

• DOM 型 XSS：攻击者通过修改目标网页的 DOM 结构，注入恶意脚本，当用户操作页面时，脚本会被执行。

防范 XSS

攻击的方法包括：

• 输入过滤和验证：对用户输入的数据进行过滤和验证，移除或转义潜在的恶意代码。

• 输出编码：在将用户输入展示到页面上时，进行适当的编码，防止恶意代码被执行。

• 使用 CSP（Content Security Policy）：通过 CSP 设置响应头中的安全策略，限制页面中可执行的脚本来源和其他资源加载。

• 使用 HTTP-only Cookie：将敏感信息存储为 HTTP-only Cookie，防止恶意脚本获取敏感信息。

• 限制脚本执行：对于不可信的内容，如用户提交的评论或富文本编辑器中的内容，限制其执行脚本的能力。

示例代码： 以下是一个基于 JavaScript 的输入过滤函数示例，用于过滤用户输入中的特殊字符和标签，防止 XSS 攻击。

function sanitizeInput(input) {
  return input.replace(/</g, '&lt;').replace(/>/g, '&gt;');
}

// 使用示例
const userInput = '<script>alert("XSS attack!");</script>';
const sanitizedInput = sanitizeInput(userInput);
console.log(sanitizedInput);
// 输出结果：&lt;script&gt;alert("XSS attack!");&lt;/script&gt;

需要注意的是，输入过滤只是防范 XSS 攻击的一种手段，综合的安全策略和防御措施需要根据具体情况进行综合考虑和实施。

2023年6月20日

1. 什么是语义化的 HTML？为什么它重要？

2. 什么是 DOCTYPE？它的作用是什么？

3. 解释一下 CSS 伪类和伪元素的区别，并举例说明。

上面问题的答案会在第二天的公众号推文中公布，大家可以关注公众号：程序员每日三问，第一时间获得推送内容。

学习不打烊，充电加油只为遇到更好的自己,每天早上9点纯手工发布面试题（死磕自己，愉悦大家） 希望大家在这浮夸的程序员圈里保持冷静，每天坚持花20分钟来学习与思考，在千变万化，类库层出不穷的今天，不要等到找工作时才狂刷题，提倡每日学习。