前端浏览器相关知识

最新推荐文章于 2024-05-04 20:03:30 发布
最新推荐文章于 2024-05-04 20:03:30 发布
阅读量122 收藏
点赞数
分类专栏: 前端 文章标签: 前端 xss csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49757069/article/details/118693375
版权
从输入url 到 渲染页面的整个过程
  1. 对DNS进行解析获取ip地址
  2. 根据得到的ip地址进行发送HTTP请求
  3. 服务器处理HTTP请求并返回响应给浏览器
  4. 浏览器将HTML解析成 DOM 树
  5. 将 CSS 解析成 CSSOM 树
  6. 将 DOM 树和 CSSOM 树构造成 render 树
  7. JS 根据得到的 render 树能够得到节点的几何属性,计算出每个节点在屏幕中的位置
  8. 按照计算出来的规则,绘制到屏幕上
为何将 CSS 放到 head 中

在渲染DOM 节点前把CSS加载完,能够避免重复渲染,且如果未先加载 CSS 的情况下,加载出来的页面因为没有样式会很丑。

为何将 js 放到 body 最后

对 js 的解析会阻塞页面渲染。

解决方案(二选一)
  1. 给其添加 async 属性:async 会在脚本加载之后立即执行。如果是多个,执行顺序和加载顺序无关。async 会在 load 事件之前执行,但并不能确保与 DOMContentLoaded 的执行顺序。
  2. 给其添加 defer 属性:defer 是 HTML 解析完才会执行。如果是多个,则按照加载顺序依次执行。defer脚本会在 DOMContentLoaded 和 load 事件之前执行
Window.onLoad 和 DOMContentLoaded 的区别
window.addeventListener('onLoad', function(){
	// 页面加载完全部资源才执行,包括图片、视频
})
window.addeventListener('DOMContentLoaded', function(){
	// DOM 渲染完即可执行,包括图片、视频等还没加载完
})
XSS(跨站脚本攻击)

攻击原理:攻击者通过在目标网站注入恶意脚本,使之在用户浏览器上运行,从而获取用户敏感信息。

XSS 防范:

  • 过滤(过滤诸如 <script> <img> 等敏感标签)
  • 编码:对用户数入的数据进行 HTML Entity 编码,把字符转换成转义字符。比如说<script>alert(1)</script>,若不进行任何处理,则浏览器会执行 alert 的 js 操作,实现 XSS 注入。进行编码处理之后,将变量作为纯文本进行输入,且不引起 JavaScript 的执行。
  • 设置 HTTPOnly:对敏感的 cookie 设置 HttpOnly,禁止 JavaScript 访问这些信息,攻击者在完成 XSS 攻击后也无法窃取敏感信息。
  • 输入内容长度控制:对于不受信任的输入,都应该先定一个合理的长度。虽然无法完全防止 XSS 的发生,但是可以增加 XSS 攻击的难度。
CSRF(跨站请求伪造)

攻击原理:用户在A站点已登录的情况下,被攻击者引导至B站点;此时攻击者在B站点伪造一个A站点的请求来模拟用户操作(如支付等敏感操作)。

攻击者盗用你的身份,以你的名义向第三方网站发送恶意请求

CSRF 防范:

  • 在A站点页面下生成随机 token,用户在发起敏感操作时带上此 token 给服务端验证
  • 服务端验证请求的 refer 来源
  • 给 cookie 设置 samesite 属性,防止被第三方发起请求时带上
XSS 和 CSRF 的区别
  1. CSRF 需要用户先登录网站A,XSS 不需要登录
  2. CSRF 是利用网站A 本身的漏洞,去请求网站A的api;XSS 是向网站A注入JS代码,然后执行JS里的代码,篡改网站A的内容。(XSS 利用的是站点内的信任用户,而 CSRF 则是通过伪装来自受信任用户的请求来利用受信任的网站 )
同源策略

同源策略是浏览器的安全功能,不同源的客户端在没有明确授权下,不能读写对方资源的。

协议、域名、端口,三者任一不同,则算是跨域。

跨域方式
  1. JSONP(只支持 get 请求):通过 script 标签的异步加载实现,利用 script 标签不受同源策略的限制。
  2. CORS:服务器设置 Access-Control-Allow-Origin 来实现跨域,如果浏览器检测到相应的设置,就会允许 ajax 进行跨域访问。
  // 以Node.js + express 为例
app.all('*', function(req, res, next) {
  res.header('Access-Control-Allow-Origin', '*')
  res.header('Access-Control-Allow-Headers', 'X-Requested-With')
  res.header('Access-Control-Allow-Methods', 'PUT,POST,GET,DELETE,OPTIONS')
  next()
})
  1. proxy 代理:在本地创建一个虚拟服务器,发送请求数据,同时接受请求的数据,利用服务器与服务器交互不会有跨域问题,是完全只靠前端自己独立解决跨域的方式。
 devServer: {
    proxy:{
      "/api": {
          target: "http://www.xiongmaoyouxuan.com", // 需要代理的域名
          ws: false, // 是否启用websockets
          changeOrigin: true, //开启代理:在本地会创建一个虚拟服务端,然后发送请求的数据,并同时接收请求的数据,这样服务端和服务端进行数据的交互就不会有跨域问题
          pathRewrite: {  //重写匹配的字段,如果不需要在请求路径上,重写为""
              "^/api": "/api"
          }
      },
  },
  }
喻先生_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web前端浏览器兼容性问题和新知识.docx
02-26
在开发过程中,掌握这些知识并灵活运用,可以帮助开发者创建出在多种浏览器上表现一致的高质量网页。同时,持续关注浏览器的更新和新特性,以及新兴的测试工具,也是保持前端开发技能与时俱进的关键。
前端面试宝典(前端知识
12-23
前端面试宝典】是为准备前端面试的开发者量身打造的一份综合指南,涵盖了前端领域的核心知识。本文将深入探讨其中的一些关键知识点。 1. **HTML** - **HTML5特性**:包括离线存储(AppCache)、拖放功能、媒体...
前端---浏览器相关知识
渣渣的成长之路
05-05 481
在说知识点之前,提供给大家也给自己一个学习方法——每周至少花一个小时的时间看笔记,而且每次都从头看,坚持下去。(温故而知新,可以为师矣)这样子等面试的时候面试官问你基础知识的时候你就能够很熟练的说出来。 W3C(万维网联盟) W3C:制定编程语言规范和标准 开发者按照规范编写代码,浏览器开发商也会开发一套按规范把代码渲染成页面的东西,这个东西就是引擎或内核。 ...
前端开发浏览器相关入门知识
nhf_a的博客
12-15 320
浏览器网页构建相关知识 浏览器的重构 指的是改变每个元素外观时所触发的浏览器行为,比如颜色,背景等样式发生了改变而进行的重新构造新外观的过程。重构不会引发页面的重新布局,不一定伴随着回流。 回流指的是浏览器为了重新渲染页面的需要而进行的重新计算元素的几何大小和位置的,他的开销是非常大的, 回流可以理解为渲染树需要重新进行计算,一般最好触发元素的重构,避免元素的回流;比如通过
2024年Web前端入门必知——浏览器基础知识(1),2024新一波程序员跳槽季
2301_82243710的博客
05-04 1054
开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】给大家分享一些关于HTML的面试题。但是用这种方法存在着一个问题,下面来看看代码:在这个例子中,objA和objB通过各自的属性相互引用;也就是说这两个对象的引用次数都是2。在采用引用计数的策略中,由于函数执行之后,这两个对象都离开了作用域,函数执行完成之后,objA和objB还将会继续存在,因为他们的引用次数永远不会是0。这样的相互引用如果说很大量的存在就会导致大量的内存泄露。大多数浏览器已经放弃了这种回收方式。
浏览器线程
weixin_33840661的博客
12-06 149
浏览器的渲染进程是多线程的。js是阻塞单线程的。 浏览器包含有以下线程: 1.GUI渲染线程 负责渲染浏览器界面,解析HTML,CSS,构建DOM树和RenderObject树,布局和绘制等。 当界面需要重绘(Repaint)或由于某种操作引发回流(reflow)时,该线程就会执行 注意,GUI渲染线程与JS引擎线程是互斥的,当JS引擎执行时GUI线程会被挂起(相当于被冻结了),GUI更新会被保存...
web前端浏览器篇——知识汇总
qq_29510269的博客
05-20 443
web前端浏览器知识汇总 一、URL到页面 **准备阶段: ** 输入URL,Enter进入查找 浏览器在本地查找host文件,匹配对应的IP; 找到返回浏览器并缓存 没有,则进入路由查找; 找到返回浏览器并缓存 再没有,再进入公网DNS根目录 ; 找到返回浏览器并缓存 进入,等待发送请求,建立tcp/ip 传输连接,若没有等候的请求,则直接发送 **服务器阶段: ** 根据请求,查找数据,返回数据 渲染阶段: 逐行解析HTML, 遇到同步的请求代码,则发送数据请求,cssLi.
前端知识点梳理 web前端
05-09
以下是对"前端知识点梳理 web前端"这一主题的详细解析: 一、HTML(超文本标记语言) HTML是构成网页的基础,用于定义页面结构。它由一系列标签组成,如`<head>`、`<body>`、`<h1>`、`<p>`、`<a>`等,这些标签描述...
前端面试题之浏览器Browser相关题集.zip
最新发布
06-21
本题集主要聚焦于浏览器相关的面试题,旨在帮助面试者和学习者深入理解浏览器的工作原理及其对前端开发的影响。下面我们将详细探讨其中涉及的一些关键知识点。 1. **浏览器内核**:浏览器内核是负责解析网页内容并...
web前端知识框架
05-04
Web前端知识框架是学习和理解这一领域的基石,它涵盖了HTML、CSS、JavaScript等核心技术,以及相关的库、框架和工具。下面我们将深入探讨这个框架的各个关键组成部分。 首先,我们来了解HTML(HyperText Markup ...
前端常见知识点二之浏览器
1234Wu--Blog
07-04 392
前端常见知识点之浏览器 1.web Quality(无障碍) 能够被残障人士使用的网站称得上一个易用的(易访问的)网站 使用alt属性: <img src='xxx.jpg' alt='this is a xxx'/> 有时候浏览器无法显示图像,alt会发挥它的作用: 用户关闭了图像显示 不支持显示图形的迷你浏览器 浏览器是语音浏览器(供盲人和弱势群体使用) 如果您使用了alt属性,那么浏览器至少可以显示或读出有关图像的描述。 2.几个实用的BOM对象方法 BOlocation–浏览器对象
前端必须要了解的浏览器常识
weixin_45977625的博客
09-20 262
前端必须要了解的浏览器常识一. 首先来说说浏览器的构成二. 浏览器内核的理解三. 浏览器渲染的过程四. 浏览器兼容问题总结(ie,firefox) 一. 首先来说说浏览器的构成 用户界面,浏览器引擎,渲染引擎,js解释器,数据存储,网络,UI后端 用户界面:包括地址栏,后退/前进按钮,书签目录等 浏览器引擎:用来查询和操作渲染引擎的接口 渲染引擎:用来显示请求的内容,eg.如果请求的内容为html,就负责解析html及 css,并将解析后的结果显示出来 网络:用来完成网络调用,eg.http请求,有与平台无
前端需要理解的浏览器知识
薛定谔的猫-前端领域
08-25 392
当进行了会影响布局树的操作后,需要重新计算布局树,会引发布局。为了避免连续的多次操作导致布局树反复计算,浏览器默认会合并这些操作,当 JS 代码全部完成后再进行统一计算(但对于 window.getComputedStyle精确计算会强行刷新队列,无法优化),所以,改动属性造成的 reflow 是异步完成的。,由许多浏览器的特征信息综合起来的,不同特征值的信息熵(entropy,是接收的每条消息中包含的信息的平均量,信息熵越高,则能传输越多的信息,信息熵越低,则意味着传输的信息越少)有异。
前端基础面试题+答案——浏览器篇(校招必看),2024年最新作为一名web前端面试者你应该知道的技能
m0_60635001的博客
04-16 399
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化的资料的朋友,可以添加V获取:vip1024c (备注前端)一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
[前端基础] 浏览器
不定期更新 Web 开发及机器学习相关博客
10-29 1168
浏览器相关知识原理进行整理,简单描述其核心内容
vscode当前工作区不受信任,因此已禁用此扩展
热门推荐
aoxuestudy的专栏
02-07 4万+
vscode glsl插件,Shader languages support for VS Code
前端面试题精编.pdf
09-06
前端开发面试中,以下是一些关键知识点的详细说明: 1. **HTML&CSS**: - **Web标准理解**:理解W3C标准和语义化的HTML,确保网页内容结构清晰。 - **浏览器内核差异**:了解Chrome的Blink,Firefox的Gecko,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值