IMWeb提升营Day2

本文详细探讨了前端开发中的一些常见问题,包括XHTML与HTML的区别、DOCTYPE的作用、IE6的bug及其解决方案,以及IE和DOM事件流的区别。此外,还深入讨论了XSS漏洞的定义、类型、危害及防御措施,强调了防止XSS攻击的重要性。
摘要由CSDN通过智能技术生成

2017.5.25

今日早报

  • 新版本React的的各种新特性,感觉React还是挺重要的,作为最热门的前段框架,react起源于facebook的内部项目,是因为该公司对市场上的javascript MVC模型不满意,所以自己写了一套框架,因为很新,所以入门教程不多,可以看看阮一峰的日志,写的还不错
  • IBM发布最强的量子处理器,性能是旧款的两倍多。
  • 虚拟金融成了人工智能发展新方向,让人工智能来给客户提供理财投资咨询。

Day1的编程训练题答案解析:
https://zhuanlan.zhihu.com/p/27100060

前端常见问题

问题1: XHTML和HTML有什么区别?

  • HTML是一种基本的WEB网页设计语言
  • XHTML是一个基于XML的置标语言

  • 最主要的不同

    • XHTML元素必须被正确地嵌套
    • XHTML元素必须被关闭
    • XHTML文档必须拥有根元素
    • 标签名必须用小写字母
  • HTML4和HTML5的区别

    • html:没有体现结构语义化的标签,我们通常都是这样来命名的<div id="header"></div>.这样表示网站的头部。
    • html5:在语义上却有很大的优势。提供了一些新的标签,比如:<header><article><footer>

问题2: Doctype? 严格模式与混杂模式-如何触发这两种模式,区分它们有何意义?

  • DOCTYPE是document type(文档类型)的简写,用来说明你用的XHTML或者HTML是什么版本。
  • 1作用:声明文档的解析类型(document.compatMode),避免浏览器的怪异模式。

    • document.compatMode:
      BackCompat:怪异模式,浏览器使用自己的怪异模式解析渲染页面。
      CSS1Compat:标准模式,浏览器使用W3C的标准解析渲染页面。页面添加了<!DOCTYPE html>
    • 这个属性会被浏览器识别并使用,但是如果你的页面没有DOCTYPE的声明,那么compatMode默认就是BackCompat
  • 2 使用:

    • 2.1 使用也很简单,就是在你的html页面的第一行添加””一行代码就可以了
    • 2.2 jsp的话,添加在<%@ page %>的下一行。
    • 2.3 不用区分大小写
  • 用于声明文档使用那种规范(html/Xhtml)一般为 严格 过度 基于框架的html文档

  • 加入XMl声明可触发,解析方式更改为IE5.5 拥有IE5.5的bug

问题3: 写出几种IE6 BUG的解决方法

  • 1.双边距BUG float引起的 使用display
  • 2.3像素问题 使用float引起的 使用dislpay:inline -3px
  • 3.超链接hover 点击后失效 使用正确的书写顺序 link visited hover active
  • 4.Ie z-index问题 给父级添加position:relative
  • 5.Png 透明 使用js代码 改
  • 6.Min-height 最小高度 !Important 解决’
  • 7.select 在ie6下遮盖 使用iframe嵌套
  • 8.为什么没有办法定义1px左右的宽度容器(IE6默认的行高造成的,使用over:hidden,zoom:0.08 line-height:1px)

问题4: IE和DOM事件流的区别

  • 1.执行顺序不一样
  • 2.参数不一样
  • 3.事件加不加on
  • 4.this指向问题

个人思考题

###1、谈一谈你做过的一个项目,业务逻辑模块如何划分的?

2、什么是xss漏洞,怎么防御?

  • XSS又称CSS(为了避免和css重复,就叫XSS了),全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。
  • XSS攻击类似于SQL注入攻击,攻击之前,我们先找到一个存在XSS漏洞的网站,XSS漏洞分为两种:
    • 一种是DOM Based XSS漏洞
    • 另一种是Stored XSS漏洞。
  • 理论上,所有可输入的地方没有对输入数据进行处理的话,都会存在XSS漏洞,漏洞的危害取决于攻击代码的威力,攻击代码也不局限于script。

  • XSS有哪些类型?

    • 反射型:简单的描述就是把用户输入的数据反射给浏览器,这个数据可能是Html代码或者js代码,反射后让浏览器去执行。
    • 存储型:把用户输入的数据(比如恶意的js代码)存储在服务器端,具有很强的稳定性,危害时间长。
    • DOM Based XSS:这种不是按照存储在哪里来划分的,可以说是反射型,由于历史原因,归为一类,通过改变DOM结构形成的XSS称之为DOM Based。
  • XSS的危害有哪些?

    • 1、劫持Cookie
    • 2、构建Get和Post请求
    • 3、XSS钓鱼
    • 4、获取用户系统信息
      • 此外XSS还可以识别用户的浏览器信息、用户安装的软件以及用户真实的IP等信息。
    • 5、XSS Wrom
  • 如何防御XSS呢?

    • 1、给关键的Cookie设置HttpOnly属性
      • 这样能够避免js读取Cookie信息(设置后有助于缓解XSS,但是XSS除了劫持Cookie之外,还可以模拟用户的身份进行操作)。
    • 2、进行输入检查
      • 如果仅仅在客户端通过JS来做输入校验,有可能会被攻击者绕过,WEB开发中的普遍做法是同时在客户端和服务端做校验。这种输入检查的方式也称之为XSS Filter。
    • 3、输出检查
      • 一般说来,除了富文本输出之外,在变量输出到HTML页面时,可以使用编码或者转义的方式来防御XSS攻击。
    • 4、防御DOM BasedXSS
      • 首先是$var输出到<script>时,应该执行一次javasriptEncode,其次在doument.write输出到HTML页面时,如果是输出到事件或者脚本,可以再做一次javaScriptEncode,如果是输出到HTML内容或者属性,则可以做一次HtmlEncode。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值