1 什么是同源策略
2 前后端是如何通信的
3 如何创建Ajax
4 跨域通信的几种方式
什么是同源策略及限制
同源策略限制从一个源加载的文档或脚本如何与来自另一个源的资源进行交互
这是一个用于隔离潜在恶意文件的关键的安全机制
1 源的三个部分:协议,域名,端口(http协议的默认端口是80,如果有任何一部分不同则源不同,那就是跨域了)
2限制:这个源的文档没有权利去操作另一个文档源的文档,这个限制体现在(要记住)
限制:
1 Cookie,LocalStorage和IndexDB无法获取
2 DOM无法获取和操作
3 Ajax请求不能发送,ajax只适合同源策略
前后端如何通信
1 Ajax(不支持跨域)
2 WebSocket(支持跨域,不受同源策略的限制)
3 CORS(同时支持同源和跨域的Ajax)
如何创建Ajax
在回答Ajax的问题时,要回答一下几个方面
1 XMLHttpRequest的工作原理(XMLHttpRequest只有在高级浏览器中才支持。在回答问题时,这个兼容性问题不要忽略。)
2 兼容性处理
3事件的触发条件
4 事件的触发顺序
var xhr = new XMLHttpRequest()
xhr.open("GET","/api",false)
xhr.onreadystatechange = function () {
if(xhr.readyState == 4){
if(xhr.status == 200) {
alert(xhr.responseText)
}
}
}
xhr.send(null)
跨域通信的几种方式
1JSONP
2 WebScoket
3 CORS
4Hash
5postMessage
(以上这五种方式,在面试的时候,都要说出来)
JSONP的原理是什么?怎么实现的?
利用script异步加载实现的
安全类
CSRF
1基本概念和缩写
CSRF:通常称为跨站请求伪造,英文名Cross-site request forgery 缩写CSRF
2 防御措施(登录验证)
1Token验证
2Referer验证
3 隐藏令牌
XSS
1基本概念和缩写
XSS:(cross-site-scripting 跨域脚本攻击)
(他不需要做任何的登录验证)
(利用合法去渠道 向你的页面注入js)
2 防御手段
1让你注入的js代码无法执行
4751
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
