- JavaScript
- es6
- css
- HTML
- 基础框架
- 工程化
- 1. 运行容器 Node.js
- 2. 打包工具:Webpack、Gulp
- 3. Babel 插件的作用
- 4. PostCSS 插件的作用
- 5. 热更新机制,如 webpack-hot-middleware 中间件
- 6. CSS 编码优化:Less、Sass、CSS Module
- 7. JS 资源混淆压缩:UglifyJS
- 8. JS 打包编译优化:tree shaking
- 9. JS 编码能力提升:TypeScript
- 10. 单元测试工具:Mocha、Karma、Jest
- 11. JS 代码覆盖率统计工具:Istanbul
- 12. JS 编码规范约束:JSLint、ESLint、TSLint
- 13. Jenkins 持续集成服务器
- 浏览器
- 性能优化
- Web安全
- 其他技术
JavaScript
1. 基础数据类型
JavaScript中的基础数据类型包括数字(Number)、字符串(String)、布尔(Boolean)、数组(Array)、对象(Object)、空(Null)和未定义(Undefined)。
// 数字
let num = 10;
// 字符串
let str = "Hello, world!";
// 布尔
let bool = true;
// 数组
let arr = [1, 2, 3];
// 对象
let obj = { name: "John", age: 30 };
// 空
let empty = null;
// 未定义
let undefinedVar;
2. 事件绑定机制
事件绑定可以使用addEventListener方法或者直接在HTML标签中使用事件属性。
<button id="myButton">Click me</button>
<script>
document.getElementById("myButton").addEventListener("click", function() {
console.log("Button clicked!");
});
</script>
3. this指针
在 JavaScript 中,this 关键字指向当前执行上下文中的对象。其具体指向取决于函数被调用的方式。通常情况下,this 指向调用函数的对象。
const person = {
name: 'Alice',
greet: function() {
console.log('Hello, ' + this.name);
}
};
person.greet();
// 输出 "Hello, Alice"
4. 数组扩展方法
JavaScript 提供了许多方便的数组操作方法,如 map、filter、reduce 和 isArray 等。
map: 对数组的每个元素执行给定函数,并返回一个新数组,例如:
const numbers = [1, 2, 3];
const doubled = numbers.map(num => num * 2);
console.log(doubled); // 输出 [2, 4, 6]
filter: 使用给定的函数测试所有元素,并创建一个包含通过测试的所有元素的新数组,例如:
const numbers = [1, 2, 3, 4, 5];
const evenNumbers = numbers.filter(num => num % 2 === 0);
console.log(evenNumbers); // 输出 [2, 4]
reduce: 对数组中的所有元素执行给定的 reducer 函数,返回一个累加的结果,例如:
const numbers = [1, 2, 3, 4, 5];
const sum = numbers.reduce((acc, curr) => acc + curr, 0);
console.log(sum); // 输出 15 (1 + 2 + 3 + 4 + 5)
isArray: 检查给定的值是否为数组,例如:
console.log(Array.isArray([])); // 输出 true
console.log(Array.isArray('hello')); // 输出 false
5. 字符串扩展方法
JavaScript 中的字符串也有许多扩展方法,如 indexOf、substring 和 split 等。
indexOf: 返回字符串中指定子字符串的位置,如果没有找到,则返回 -1,例如:
const str = 'Hello, world!';
console.log(str.indexOf('world')); // 输出 7
substring: 返回一个新字符串,该字符串包含从指定位置开始到指定字符数的字符,例如:
const str = 'Hello, world!';
console.log(str.substring(7, 12)); // 输出 "world"
split: 将字符串分割成子字符串数组,例如:
const str = 'apple,banana,orange';
const fruits = str.split(',');
console.log(fruits); // 输出 ["apple", "banana", "orange"]
6. 对象扩展方法
JavaScript对象也有一些扩展方法,如Object.keys、Object.create和Object.defineProperty。
let person = { name: "John", age: 30 };
// 获取对象的所有属性名
let keys = Object.keys(person);
console.log(keys); // 输出: ["name", "age"]
// 创建一个新对象,并指定原型对象
let newObj = Object.create(person);
console.log(newObj.name); // 输出: John
// 定义对象的新属性
Object.defineProperty(person, "email", {
value: "john@example.com",
writable: true,
enumerable: true,
configurable: true
});
console.log(person.email); // 输出: john@example.com
7. 作用域与作用域链
作用域指的是变量的可访问范围,作用域链是指在嵌套的函数中,内部函数可以访问外部函数的作用域。
let globalVar = "I'm global";
function outerFunction() {
let outerVar = "I'm outer";
function innerFunction() {
let innerVar = "I'm inner";
console.log(globalVar); // 可以访问外部函数的变量
console.log(outerVar); // 可以访问外部函数的变量
}
innerFunction();
}
outerFunction();
8. 原型:prototype与proto的区别
prototype是函数对象特有的属性,用于定义构造函数的原型对象。而__proto__是每个对象(包括函数对象)都有的属性,用于指向该对象的原型。
function Person(name) {
this.name = name;
}
let john = new Person("John");
console.log(Person.prototype); // 构造函数的原型对象
console.log(john.__proto__); // 实例对象的原型对象
9. 类与继承
ES6引入了类的概念,可以使用class关键字来定义类,使用extends关键字实现继承。
class Animal {
constructor(name) {
this.name = name;
}
speak() {
console.log(this.name + ' makes a noise.');
}
}
class Dog extends Animal {
speak() {
console.log(this.name + ' barks.');
}
}
let dog = new Dog('Spot');
dog.speak(); // 输出: Spot barks.
10. 值传递与引用传递
JavaScript中的基本数据类型是按值传递的,而对象类型是按引用传递的。
let a = 10;
let b = a; // 值传递,b的值是10
let arr1 = [1, 2, 3];
let arr2 = arr1; // 引用传递,arr2指向arr1的内存地址
11. 变量类型转换:= =与= = = 的区别
JavaScript中的= =和= = =都是用于比较两个值是否相等的运算符,但它们之间有一些重要的区别:
= =运算符会在比较之前进行类型转换,如果两个操作数的类型不同,JavaScript会尝试将它们转换为相同的类型再进行比较。= = =运算符严格相等,不会进行类型转换,只有在两个操作数的值和类型都相同时才会返回true。
console.log(1 == '1'); // 输出: true,因为'1'被转换为数字1进行比较
console.log(1 === '1'); // 输出: false,类型不同,不会进行转换,直接返回false
12. 变量声明提升:let 与 var 的区别
在JavaScript中,使用var关键字声明的变量存在变量提升,即在声明前可以使用。而使用let声明的变量不存在变量提升,而是在块级作用域内声明,只能在声明后使用。
console.log(x); // 输出: undefined,变量提升,但未赋值
var x = 10;
console.log(y); // 报错:Uncaught ReferenceError: y is not defined
let y = 20;
13. 闭包
闭包是指有权访问另一个函数作用域中变量的函数,即使外部函数执行完毕后,闭包仍然可以访问这些变量。
function outerFunction() {
let outerVar = 'I am outer';
function innerFunction() {
console.log(outerVar);
}
return innerFunction;
}
let closure = outerFunction();
closure(); // 输出: I am outer
在上面的例子中,innerFunction形成了闭包,它可以访问outerFunction中的outerVar变量,即使outerFunction已经执行完毕。
14. 函数内部 arguments 对象的理解
arguments对象是一个类数组对象,包含了函数被调用时传入的所有参数。它可以用于在函数内部访问所有参数,即使在函数定义时没有明确指定参数名。
function sum() {
let total = 0;
for (let i = 0; i < arguments.length; i++) {
total += arguments[i];
}
return total;
}
console.log(sum(1, 2, 3, 4)); // 输出: 10
在上面的例子中,sum函数没有明确指定参数,但可以通过arguments对象获取传入的所有参数并计算它们的总和。
15. 本地存储:localStorage 与 sessionStorage
localStorage和sessionStorage都是HTML5提供的用于在浏览器端存储数据的API,但它们有一些区别:
localStorage存储的数据在浏览器关闭后仍然保留,直到通过JavaScript代码或用户手动删除;sessionStorage存储的数据在浏览器会话结束(窗口关闭)后被清除,只在当前会话中有效。
// 将数据存储到localStorage
localStorage.setItem('key', 'value');
// 从localStorage中获取数据
let data = localStorage.getItem('key');
// 从localStorage中移除数据
localStorage.removeItem('key');
// 清空localStorage中的所有数据
localStorage.clear();
使用方法与localStorage类似,只是将localStorage替换为sessionStorage即可。
16. 函数防抖与节流
函数防抖(Debouncing)和节流(Throttling)都是用于控制函数执行频率的技术,常用于处理频繁触发的事件,如窗口调整、滚动等。
- 函数防抖:在一定时间内,如果事件持续触发,则只执行最后一次触发的事件处理函数。适用于需要等待一段时间后执行操作,例如搜索框输入联想功能。
function debounce(func, delay) {
let timer;
return function() {
clearTimeout(timer);
timer = setTimeout(() => {
func.apply(this, arguments);
}, delay);
};
}
// 在搜索框输入时触发搜索函数,但只在输入停止后的500毫秒执行搜索操作
let searchFunction = debounce(function() {
console.log('Performing search...');
}, 500);
- 函数节流:在一定时间内,如果事件持续触发,则以一定频率执行事件处理函数。适用于需要控制事件处理函数执行频率,例如滚动加载更多数据。
function throttle(func, delay) {
let timer;
return function() {
if (!timer) {
func.apply(this, arguments);
timer = setTimeout(() => {
timer = null;
}, delay);
}
};
}
// 当滚动事件发生时,以每300毫秒的频率执行事件处理函数
let scrollFunction = throttle(function() {
console.log('Scrolling...');
}, 300);
17. 事件总线(Event Bus)
事件总线是一种用于在组件之间进行通信的模式,它通常是一个全局的事件发布/订阅系统,任何一个组件都可以触发事件,其他组件则可以监听并响应这些事件。
// 创建一个简单的事件总线
const eventBus = new Vue();
// 发布事件
eventBus.emit('event-name', eventData);
// 订阅事件
eventBus.on('event-name', (data) => {
// 处理事件
});
在上面的例子中,eventBus作为一个全局对象,可以在任何一个组件中使用,通过$emit发布事件,通过$on订阅事件,并可以传递数据给订阅者。
es6
1. const 与 let
const和let是ES6新增的声明变量的关键字,相较于var具有以下特点:
const用于声明常量,其值在声明后不能被修改,但对象类型的常量仍然可以修改其属性。let用于声明块级作用域的变量,其作用域仅限于当前块内部,不会被提升至全局作用域。
const PI = 3.14; // 声明一个常量
// PI = 3.14159; // 报错,常量值不可修改
let count = 0; // 声明一个变量
2. 解构赋值
解构赋值是一种方便的语法,可以从数组或对象中提取值,并赋给变量。
// 数组解构赋值
let [x, y] = [1, 2];
console.log(x, y); // 输出: 1 2
// 对象解构赋值
let { name, age } = { name: 'John', age: 30 };
console.log(name, age); // 输出: John 30
3. 字符串模板
字符串模板是一种更方便的字符串拼接方式,使用反引号(`)包裹字符串,并可以在其中插入变量或表达式。
let name = 'John';
let greeting = `Hello, ${name}!`;
console.log(greeting); // 输出: Hello, John!
4. Set 和 Map 数据结构
Set和Map是ES6新增的数据结构,分别用于存储唯一值的集合和键值对的集合。
// Set数据结构
let set = new Set([1, 2, 3, 3, 4]);
console.log(set); // 输出: Set(4) {1, 2, 3, 4}
// Map数据结构
let map = new Map([['name', 'John'], ['age', 30]]);
console.log(map.get('name')); // 输出: John
5. Promise 对象
Promise对象用于表示一个异步操作的最终完成或失败,并返回相应的结果。
let promise = new Promise((resolve, reject) => {
setTimeout(() => {
resolve('Success!');
}, 1000);
});
promise.then((result) => {
console.log(result); // 输出: Success!
});
6. async/await
async和await是用于处理异步操作的语法糖,使得异步代码看起来更像同步代码。
async function fetchData() {
let response = await fetch('https://api.example.com/data');
let data = await response.json();
return data;
}
fetchData().then((data) => {
console.log(data);
});
7. 展开语法
展开语法(Spread Syntax)可以在函数调用或数组/对象构造时,将数组或对象展开为单个参数或键值对列表。
// 函数调用时展开数组
function sum(a, b, c) {
return a + b + c;
}
let numbers = [1, 2, 3];
console.log(sum(...numbers)); // 输出: 6
// 构造数组时展开另一个数组
let arr1 = [1, 2, 3];
let arr2 = [...arr1, 4, 5];
console.log(arr2); // 输出: [1, 2, 3, 4, 5]
8. 箭头函数
箭头函数是一种更简洁的函数定义方式,可以省略function关键字,并且自动绑定this。
// 普通函数
function add(a, b) {
return a + b;
}
// 箭头函数
let add = (a, b) => a + b;
9. Class 类的用法
ES6引入了类的概念,可以用于定义对象的模板,并通过extends关键字实现继承。
class Animal {
constructor(name) {
this.name = name;
}
speak() {
console.log(this.name + ' makes a noise.');
}
}
class Dog extends Animal {
speak() {
console.log(this.name + ' barks.');
}
}
let dog = new Dog('Spot');
dog.speak(); // 输出: Spot barks.
10. Ajax Fetch API
fetch是一种用于发送网络请求的API,替代了传统的XMLHttpRequest,使用起来更简洁明了,支持Promise。
fetch('https://api.example.com/data')
.then(response => response.json())
.then(data => console.log(data))
.catch(error => console.error('Error:', error));
css
1. 盒模型
盒模型是CSS中用于布局的基本概念,它将每个HTML元素视为一个矩形的盒子,包括内容区域、内边距、边框和外边距。
/* 盒模型示例 */
.box {
width: 200px; /* 设置盒子宽度 */
padding: 20px; /* 设置内边距 */
border: 1px solid #000; /* 设置边框 */
margin: 10px; /* 设置外边距 */
}
2. Flex 布局
Flex布局是一种弹性布局模型,用于在容器内进行灵活的布局。通过设置容器的display: flex;属性,子元素可以通过flex属性来自动调整大小和位置。
/* Flex布局示例 */
.container {
display: flex; /* 设置为Flex布局 */
justify-content: center; /* 水平居中 */
align-items: center; /* 垂直居中 */
}
.item {
flex: 1; /* 弹性伸缩 */
}
3. 响应式尺寸:em 和 rem
em和rem是用于设置字体大小和元素尺寸的单位,相对于父元素的字体大小或根元素(html)的字体大小。
em单位相对于父元素的字体大小,例如1.5em表示当前字体大小的1.5倍。rem单位相对于根元素的字体大小,例如1rem表示根元素的字体大小。
/* 响应式尺寸示例 */
.box {
font-size: 1.2em; /* 相对于父元素字体大小的1.2倍 */
}
.box2 {
font-size: 1.2rem; /* 相对于根元素字体大小的1.2倍 */
}
4. BFC 的原理
BFC(Block Formatting Context)是CSS中的一种渲染模式,用于规定块级元素如何布局、浮动、定位以及与其他元素的关系。BFC具有一些特性:
- 内部的块级盒子会在垂直方向上一个接一个地放置。
- 块级盒子的垂直边距会发生重叠。
- BFC区域不会与浮动元素重叠。
- BFC会包含浮动元素的子元素。
/* 创建BFC示例 */
.container {
overflow: hidden; /* 触发BFC */
}
5. 选择器及优先级
CSS选择器用于选择HTML元素并对其应用样式,它们具有不同的优先级。常见的选择器包括:
- 类选择器(
.class) - ID选择器(
#id) - 元素选择器(
element) - 后代选择器(
ancestor descendant) - 直接子元素选择器(
parent > child) - 伪类选择器(
:hover、:nth-child()等)
优先级规则如下:
1. !important声明具有最高优先级。
2. 内联样式(inline style)优先级高于内部样式表(style标签)和外部样式表。
3. 选择器的特异度(specificity)越高,优先级越高。
4. 后面的样式会覆盖前面的样式。
6. 伪类::after, :before
伪类是用于向元素添加特殊效果的选择器,:after和:before是两个常用的伪类,用于在元素的内容前后插入生成的内容。
/* 伪类示例 */
.element:after {
content: 'after';
}
.element:before {
content: 'before';
}
7. 动画效果:animation
animation属性用于创建动画效果,需要定义关键帧(keyframes)来描述动画的每一帧的样式。
/* 动画效果示例 */
@keyframes myAnimation {
0% { opacity: 0; }
100% { opacity: 1; }
}
.element {
animation: myAnimation 1s ease-in-out infinite alternate;
}
8. 过渡效果:transition
transition属性用于在元素状态改变时实现平滑过渡效果,需要指定过渡的属性、持续时间和过渡函数。
/* 过渡效果示例 */
.element {
transition: width 0.5s ease-in-out;
}
9. 阴影效果:box-shadow
box-shadow属性用于为元素添加阴影效果,可以设置阴影的水平偏移、垂直偏移、模糊半径、扩散半径和颜色。
/* 阴影效果示例 */
.element {
box-shadow: 5px 5px 10px rgba(0, 0, 0, 0.5);
}
10. 渐变效果:gradients
渐变效果可以用于创建平滑的色彩过渡,包括线性渐变和径向渐变。
/* 渐变效果示例 */
.element {
background: linear-gradient(to right, red, blue);
}
11. 媒体查询:media query
媒体查询是一种CSS技术,允许根据设备属性(如屏幕宽度、高度、方向、分辨率等)来应用不同的样式。这使得网页可以在不同的设备上呈现出最佳的布局和样式。
/* 媒体查询示例 */
/* 当浏览器宽度小于600px时应用以下样式 */
@media (max-width: 600px) {
.element {
font-size: 14px;
}
}
/* 当浏览器宽度大于等于600px且小于等于900px时应用以下样式 */
@media (min-width: 600px) and (max-width: 900px) {
.element {
font-size: 16px;
}
}
12. 图标字体:iconfont
图标字体是一种将图标图像存储在字体文件中的技术,可以通过CSS的@font-face规则来引用,并通过Unicode字符来显示相应的图标。
/* 图标字体示例 */
@font-face {
font-family: 'iconfont';
src: url('iconfont.ttf') format('truetype');
}
.icon {
font-family: 'iconfont';
content: '\e001'; /* Unicode字符 */
}
13. 绝对定位与相对定位的区别
- 绝对定位(
position: absolute;)是相对于最近的已定位(非static)祖先元素来定位,如果不存在已定位祖先,则相对于最初的包含块定位(通常是<html>元素)。 - 相对定位(
position: relative;)是相对于元素在正常文档流中的位置来定位,相对移动元素本身,不会影响其他元素的位置。
/* 定位示例 */
.absolute {
position: absolute;
top: 50px;
left: 50px;
}
.relative {
position: relative;
top: 20px;
}
14. 元素浮动与清除,高度塌陷问题
浮动是一种CSS布局技术,用于将元素从正常文档流中移除并放置到指定位置,但浮动元素会导致父元素的高度塌陷,需要清除浮动来解决。
/* 浮动和清除示例 */
.float-left {
float: left;
}
.clearfix::after {
content: '';
display: table;
clear: both;
}
15. 元素层叠顺序:z-index
z-index属性用于控制元素的层叠顺序,值越大的元素会显示在值较小的元素之上。
/* z-index示例 */
.element1 {
z-index: 1;
}
.element2 {
z-index: 2;
}
16. CSS 生效顺序:inline style、style 标签、!important 声明
CSS的生效顺序从高到低依次为:
!important声明具有最高优先级,会覆盖其他所有规则。- 内联样式(inline style)优先级高于内部样式表(
<style>标签)和外部样式表。 - 如果具有相同的选择器和相同的特异度,则后面的样式会覆盖前面的样式。
<!-- HTML内联样式 -->
<div style="color: red;">This is red text.</div>
<!-- CSS样式表 -->
<style>
.element {
color: blue !important; /* 使用!important声明 */
}
</style>
<!-- 外部CSS文件 -->
<link rel="stylesheet" href="styles.css">
HTML
1. 对标签语义化的理解
语义化是指使用恰当的HTML标签来描述内容的结构和含义,以便浏览器、搜索引擎和开发者更好地理解页面的结构和内容。使用语义化标签可以提高页面的可读性、可维护性和可访问性。
<!-- 语义化示例 -->
<header>
<h1>Page Title</h1>
<nav>
<ul>
<li><a href="#">Home</a></li>
<li><a href="#">About</a></li>
<li><a href="#">Contact</a></li>
</ul>
</nav>
</header>
<section>
<article>
<h2>Article Title</h2>
<p>Article content...</p>
</article>
</section>
<footer>
<p>© 2024 Example Company</p>
</footer>
2. 块级元素与行内元素的区别
- 块级元素(Block-level Elements)在文档中生成一个块级框,独占一行,并且可以设置宽度、高度、内边距和边框等属性。
- 行内元素(Inline Elements)在文档中生成一个行内框,不会独占一行,并且只能设置水平方向的内边距、边框和外边距。
<!-- 块级元素与行内元素示例 -->
<div>块级元素</div>
<span>行内元素</span>
3. HTML5 canvas 画布
Canvas是HTML5中的一个元素,可以使用JavaScript在其中绘制图形、动画等内容。通过Canvas,开发者可以动态绘制图形、图表、游戏等丰富的内容。
<!-- Canvas示例 -->
<canvas id="myCanvas" width="200" height="100"></canvas>
<script>
var canvas = document.getElementById('myCanvas');
var ctx = canvas.getContext('2d');
ctx.fillStyle = 'red';
ctx.fillRect(10, 10, 50, 50);
</script>
4. meta 标签的作用
<meta>标签用于提供关于HTML文档的元数据,如字符编码、页面描述、作者、关键词等信息。常见的<meta>标签包括:
<meta charset="utf-8">:设置文档的字符编码。<meta name="description" content="Page description">:设置页面描述。<meta name="keywords" content="keyword1, keyword2">:设置页面关键词。
<!-- meta标签示例 -->
<meta charset="utf-8">
<meta name="description" content="This is a sample page">
<meta name="keywords" content="HTML, CSS, JavaScript">
5. 音视频标签的使用:audio、video
<audio>和<video>是HTML5中用于嵌入音频和视频内容的标签,可以通过src属性指定媒体文件的URL,并且支持多种格式。
<!-- 音频和视频标签示例 -->
<audio controls>
<source src="audio.mp3" type="audio/mpeg">
Your browser does not support the audio element.
</audio>
<video controls width="320" height="240">
<source src="video.mp4" type="video/mp4">
Your browser does not support the video element.
</video>
基础框架
1. 虚拟 DOM 技术
虚拟 DOM 是一个虚拟的树形结构,与实际的 DOM 对应,但存在于内存中。当数据发生变化时,先通过虚拟 DOM 进行一次比对,找出需要更新的部分,然后才将这些变化更新到实际的 DOM 上,从而减少了实际 DOM 操作,提升了性能。
2. Vue 生命周期
Vue 组件的生命周期钩子函数包括了创建、挂载、更新和销毁等阶段:
- 创建阶段:beforeCreate、created
- 挂载阶段:beforeMount、mounted
- 更新阶段:beforeUpdate、updated
- 销毁阶段:beforeDestroy、destroyed
这些生命周期函数允许开发者在组件的不同阶段执行相应的操作,比如数据初始化、异步请求、DOM 操作等。
3. Vue MVVM 原理
Vue 实现了 MVVM(Model-View-ViewModel)架构模式,其中:
- Model 是数据层,即 Vue 实例中的数据;
- View 是视图层,即 DOM;
- ViewModel 是连接 Model 和 View 的中间层,Vue 实例就是 ViewModel。
ViewModel 负责将 Model 的变化反映到 View 上,同时也监听 View 的变化并反映到 Model 上,实现了双向数据绑定。
4. Vue 组件间通信机制
Vue 组件间通信可以通过 props、$emit 和事件总线等方式实现。
- props:父组件通过 props 向子组件传递数据。
- $emit:子组件通过 $emit 触发事件,父组件通过监听事件来获取子组件传递的数据。
- 事件总线:通过一个空的 Vue 实例作为中央事件总线来实现组件间通信。
5. Vue Router
Vue Router 是 Vue.js 官方的路由管理器,用于实现单页面应用的路由导航。
// 安装
npm install vue-router
// 使用
import Vue from 'vue'
import VueRouter from 'vue-router'
Vue.use(VueRouter)
const routes = [
{ path: '/', component: Home },
{ path: '/about', component: About }
]
const router = new VueRouter({
routes
})
6. Vuex
Vuex 是 Vue.js 官方的状态管理库,用于集中管理 Vue 应用中的状态。
// 安装
npm install vuex
// 使用
import Vue from 'vue'
import Vuex from 'vuex'
Vue.use(Vuex)
const store = new Vuex.Store({
state: {
count: 0
},
mutations: {
increment(state) {
state.count++
}
}
})
7. React 生命周期
React 组件的生命周期包括挂载、更新和卸载等阶段:
- 挂载阶段:constructor、render、componentDidMount
- 更新阶段:shouldComponentUpdate、render、componentDidUpdate
- 卸载阶段:componentWillUnmount
这些生命周期函数允许开发者在组件的不同阶段执行相应的操作,比如数据初始化、DOM 操作等。
8. setState 的触发数据变更过程
调用 React 组件的 setState 方法会触发组件的重新渲染过程。React 会将传入的新状态合并到当前状态中,并重新调用 render 方法生成新的虚拟 DOM,然后通过 Diff 算法找出变化的部分,最后更新到实际的 DOM 上。
9. React 数据更新原理
React 使用虚拟 DOM 和 Diff 算法来实现数据更新。当状态发生变化时,React 首先创建新的虚拟 DOM 树,然后与旧的虚拟 DOM 树进行比较,找出变化的部分,最后只更新变化的部分到实际的 DOM 上,从而提高性能。
10. React 组件间通信
React 组件间通信可以通过 props、context、事件、回调函数等方式实现。
- props:父组件通过 props 向子组件传递数据。
- context:通过 React 的 Context API 实现跨层级组件通信。
- 事件:子组件通过触发事件,父组件通过监听事件来获取数据。
- 回调函数:父组件通过回调函数传递数据给子组件。
11. React Router
React Router 是 React 的官方路由库,用于实现单页面应用的路由导航。
// 安装
npm install react-router-dom
// 使用
import { BrowserRouter as Router, Route, Link } from 'react-router-dom'
const App = () => (
<Router>
<div>
<nav>
<ul>
<li><Link to="/">Home</Link></li>
<li><Link to="/about">About</Link></li>
</ul>
</nav>
<Route exact path="/" component={Home} />
<Route path="/about" component={About} />
</div>
</Router>
)
12. Redux
Redux 是一个用于管理应用状态的 JavaScript 库,通常与 React 一起使用。
// 安装
npm install redux react-redux
// 使用
import { createStore } from 'redux'
import { Provider } from 'react-redux'
import rootReducer from './reducers'
const store = createStore(rootReducer)
const App = () => (
<Provider store={store}>
<div>
<Counter />
</div>
</Provider>
)
13. React Hooks
React Hooks 是 React 16.8 引入的一种新特性,允许在函数组件中使用状态和其他 React 特性。
useState
// useState是react中新增的hooks方法中的一个
// 可以在function定义的组件内部设置局部状态
// 只要组件的state或者props发生改变,组件就会重新渲染
// hooks只能在function定义的组件内部使用
// useState设置局部状态的时候不能写在循环或者条件语句中
// 因为hooks实现的时候借助了数组的思想
const { useState } = React;
function App() {
console.count('App组件渲染了'); //
// useState返回一个数组,数组中的第一项是状态调用的时候的名字,第二项是改变状态的方法
// useState接受一个参数作为状态的初始值
const [count, setCount] = useState(0);
const [list, setList] = useState(['小米', '华为']);
const clickHandle = () => {
setCount((pre) => pre + 1);
};
const keyUpHandle = (e) => {
const val = e.currentTarget.value;
if (e.keyCode === 13 && val) {
setList((pre) => [...list, val]);
}
};
return (
<>
<h1>当前的count值为:{count}</h1>
<button onClick={clickHandle}>加一</button>
<hr />
<input
type='text'
placeholder='请输入品牌'
style={{ padding: '0.2rem 0.4rem' }}
onKeyUp={keyUpHandle}
/>
<ul>
{list.map((item) => (
<li key={Math.random() * 1000 + item}>{item}</li>
))}
</ul>
</>
);
}
useContext
const { createContext, useContext, useState } = React;
const context = createContext();
const AppProvider = ({ children }) => {
const [count, setCount] = useState(1);
return (
<context.Provider
value={{ name: 'useContext', version: '1.0.1', count, setCount }}
>
{children}
</context.Provider>
);
};
const Counter = () => {
const { count, setCount } = useContext(context);
return <button onClick={() => setCount(count + 1)}>{count}</button>;
};
function App() {
const c = useContext(context);
console.log(c);
return (
<>
<h1>我是一个组件-count值为-{c.count}</h1>
<p>{c.name}</p>
<hr />
<Counter />
</>
);
}
// 使用ReactDOM.render把组件展示出来
ReactDOM.render(
<AppProvider>
<App />
</AppProvider>,
document.getElementById('root')
);
useReducer
const { useReducer } = React;
function reducer(state, action) {
switch (action.type) {
case 'plus':
return { ...state, count: state.count + 1 };
default:
return state;
}
}
function App() {
// 在useReducer的时候,传递两个参数
// 参数一 是一个reducer的function
// 参数二 是初始值
// 他和redux中的数据流向相似,如果要改变数据只能通过dispatch派发一个action
const [state, dispatch] = useReducer(reducer, {
count: 1,
name: 'reducer demo',
list: [1, 2, 3],
});
return (
<>
<button
onClick={() =>
dispatch({
type: 'plus',
})
}
>
{state.count}
</button>
</>
);
}
useEffect
// useEffect 副作用
// useEffect接收两个参数
// 参数一 回调函数
// 参数二 依赖数组
// 当依赖数组中的数据发生改变之后,回调函数会执行
const { useEffect, useState } = React;
function App() {
const [count, setC] = useState(1);
const [count2, setC2] = useState(1);
// useEffect 如果参数二不存在,那么每一次组件渲染的时候都会执行
useEffect(() => {
console.log('代码执行了');
});
// 如果参数二是空数组,那么只有初始化的时候执行一次
useEffect(() => {
console.log('组件初始化的时候只执行一次');
return () => {
console.log('组件销毁的时候执行');
};
}, []);
useEffect(() => {
console.log('count变了');
}, [count]);
return (
<>
<h1>我是一个组件-{count}</h1>
<button onClick={() => setC(count + 1)}>改变</button>
<hr />
<h1>count2的值-{count2}</h1>
<button onClick={() => setC2(count2 + 1)}>改变</button>
</>
);
}
memo
// memo 当组件已经存在,并且组件中接受的属性数据不改变的时候不需要重新渲染
// 建议在使用组件的时候尽量都加上memo,可以提高页面的渲染速度
const { useState, memo } = React;
const Item = ({ content }) => {
console.count('组件渲染了');
return <h1>{content}</h1>;
};
const MemoItem = memo(Item);
function App() {
const [list, setList] = useState([]);
return (
<div className='app'>
<input
type='text'
placeholder='请输入内容'
onKeyUp={(e) => {
const keyCode = e.keyCode;
const val = e.currentTarget.value;
if (keyCode === 13 && val) {
setList([...list, { id: Date.now(), content: val }]);
}
}}
/>
{list.map((item) => (
<MemoItem key={item.id} {...item} />
))}
</div>
);
}
```
useCallback
```javascript
// memo 当组件已经存在,并且组件中接受的属性数据不改变的时候不需要重新渲染
// 建议在使用组件的时候尽量都加上memo,可以提高页面的渲染速度
// useCallback的作用是缓存一个function,参数二是一个依赖项;当依赖项不发生改变的时候被缓存的方法不会重新创建
const { useState, memo, useCallback } = React;
const Item = ({ content, del, id }) => {
console.count('组件渲染了');
return (
<h1
onClick={() => {
del(id);
}}
>
{content}
</h1>
);
};
const MemoItem = memo(Item);
function App() {
const [list, setList] = useState([]);
const delHandle = useCallback((id) => {
console.log(id);
}, []);
return (
<div className='app'>
<input
type='text'
placeholder='请输入内容'
onKeyUp={(e) => {
const keyCode = e.keyCode;
const val = e.currentTarget.value;
if (keyCode === 13 && val) {
setList([...list, { id: Date.now(), content: val }]);
}
}}
/>
{list.map((item) => (
<MemoItem del={delHandle} key={item.id} {...item} />
))}
</div>
);
}
useRef
const { useRef } = React;
function App() {
const tagH1 = useRef();
return (
<>
<h1 ref={tagH1}>我是一个组件</h1>
<button
onClick={() => {
console.log(tagH1.current);
tagH1.current.style.color = 'red';
}}
>
获取h1标签
</button>
</>
);
}
useMemo
// useMemo作用是缓存一个值,当依赖项改变的时候,重新计算
const { useState, useMemo } = React;
function App() {
const [count, setCount] = useState(1);
const [count2, setCount2] = useState(1);
const res = useMemo(() => count * count, [count2]);
return (
<>
<h1>我是一个组件</h1>
<p>
count:{count};count2:{count2}
</p>
<p>count的平方为:{res}</p>
<button onClick={() => setCount(count + 1)}>count+</button>
<button onClick={() => setCount2(count2 + 1)}>count2+</button>
</>
);
}
14. React 组件性能优化,如 PureComponent 与 Component 的区别
在 React 中,可以通过优化组件性能来提高应用的整体性能。其中,PureComponent 和 Component 是两种不同的组件类,它们的区别在于如何确定组件是否需要重新渲染。
- Component: 每当组件接收到新的 props 或 state 时,都会重新渲染组件。
- PureComponent: 在
shouldComponentUpdate生命周期方法中对新旧 props 和 state 进行浅比较,只有当它们不相等时,才会重新渲染组件。
使用 PureComponent 可以避免不必要的渲染,提高组件的性能。但需要注意的是,PureComponent 的浅比较可能会带来性能开销,因此只有在确信组件的 props 或 state 是不可变的情况下才应使用 PureComponent。
import React, { PureComponent } from 'react';
// 使用 PureComponent
class MyComponent extends PureComponent {
render() {
return <div>{this.props.data}</div>;
}
}
// 使用 Component
class MyComponent extends Component {
render() {
return <div>{this.props.data}</div>;
}
}
工程化
1. 运行容器 Node.js
Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行环境,可用于构建高性能的网络应用。运行容器 Node.js 是指在开发环境和生产环境中使用 Node.js 来运行应用程序,同时也可以使用 npm(Node 包管理器)来管理应用程序的依赖。
2. 打包工具:Webpack、Gulp
打包工具用于将多个模块打包成一个或多个文件,以减少网络请求和提高页面加载速度。Webpack 和 Gulp 是两种常用的打包工具:
- Webpack: Webpack 是一个模块打包工具,它支持 JavaScript、CSS、图片等多种资源的打包,并且可以通过各种插件来进行扩展。
- Gulp: Gulp 是一个基于流的自动化构建工具,它可以自动执行各种任务,如压缩、合并、编译等,从而提高开发效率。
3. Babel 插件的作用
Babel 是一个 JavaScript 编译器,用于将 ECMAScript 2015+ 的代码转换为向后兼容的 JavaScript 代码。Babel 插件用于扩展 Babel 的功能,常用的插件有:
- @babel/preset-env: 根据配置的目标浏览器或环境,自动将 ES6+ 代码转换为兼容的 ES5 代码。
- @babel/plugin-transform-runtime: 避免代码重复引入辅助函数,通过引入运行时来提供这些函数。
- @babel/plugin-proposal-class-properties: 支持类的实例属性和静态属性。
- @babel/plugin-syntax-dynamic-import: 支持动态 import() 语法。
4. PostCSS 插件的作用
PostCSS 是一个用 JavaScript 编写的 CSS 处理器,它通过插件系统提供了丰富的 CSS 处理功能。常用的 PostCSS 插件有:
- autoprefixer: 为 CSS 添加浏览器前缀,以确保在不同浏览器下的兼容性。
- cssnano: 压缩和优化 CSS 文件,减小文件体积,加快页面加载速度。
- postcss-preset-env: 根据配置的目标浏览器或环境,自动添加所需的 polyfill。
5. 热更新机制,如 webpack-hot-middleware 中间件
热更新(Hot Module Replacement,HMR)是指在开发过程中,当源代码发生变化时,无需刷新整个页面,只更新变化的部分,从而加快开发效率。webpack-hot-middleware 是 Webpack 官方提供的一个用于实现热更新的中间件。
// webpack.config.js
const webpack = require('webpack');
const HtmlWebpackPlugin = require('html-webpack-plugin');
module.exports = {
entry: './src/index.js',
output: {
filename: 'bundle.js',
path: __dirname + '/dist'
},
plugins: [
new webpack.HotModuleReplacementPlugin(),
new HtmlWebpackPlugin({
template: './src/index.html'
})
],
devServer: {
hot: true
}
};
6. CSS 编码优化:Less、Sass、CSS Module
Less、Sass 和 CSS Module 是 CSS 的预处理器或模块化方案,用于提高 CSS 的编码效率和维护性。
- Less 和 Sass: 提供了变量、嵌套、混合等功能,使得 CSS 更加灵活和易于维护。
- CSS Module: 通过将 CSS 文件编译成局部作用域的 CSS 模块,实现了 CSS 的模块化,避免了全局污染和命名冲突。
7. JS 资源混淆压缩:UglifyJS
UglifyJS 是一个 JavaScript 压缩工具,用于将 JavaScript 代码压缩成最小化的形式,以减小文件体积,加快页面加载速度,并且可以通过混淆变量名和函数名来增加代码的安全性。
8. JS 打包编译优化:tree shaking
Tree shaking 是指在打包时去除 JavaScript 中未被引用的代码,从而减小打包后文件的体积。Tree shaking 通常与 ES6 模块化一起使用,因为 ES6 模块化的静态特性使得编译器能够更容易地识别出未被引用的代码。
9. JS 编码能力提升:TypeScript
TypeScript 是 JavaScript 的一个超集,它添加了静态类型系统和其他 ECMAScript 新特性,从而提高了 JavaScript 的开发效率和代码质量。使用 TypeScript 可以帮助开发者在编码过程中发现潜在的错误,并且提供了更好的代码提示和自动补全功能。
10. 单元测试工具:Mocha、Karma、Jest
单元测试工具用于对 JavaScript 代码进行单元测试,以确保代码的正确性和稳定性。常用的单元测试工具包括:
- Mocha: Mocha 是一个灵活的 JavaScript 测试框架,它可以在浏览器和 Node.js 环境下运行测试用例,并且支持各种断言库和报告器。
-
Karma: Karma 是一个测试运行器,它可以在多种浏览器中自动运行测试用例,并且可以与 Mocha、Jasmine 等测试框架配合使用。
-
Jest: Jest 是 Facebook 开发的一个简单、功能丰富的 JavaScript 测试框架,它内置了断言、模拟和覆盖率报告等功能,并且易于配置和使用。
这些工具可以帮助开发者编写和运行单元测试用例,并且生成详细的测试报告,从而提高代码的质量和可靠性。
11. JS 代码覆盖率统计工具:Istanbul
Istanbul 是一个 JavaScript 代码覆盖率统计工具,它可以帮助开发者分析代码的测试覆盖率,从而确定测试用例的质量和完整性。Istanbul 可以与 Mocha、Jasmine、Jest 等测试框架配合使用,生成详细的代码覆盖率报告,帮助开发者识别出未被测试覆盖的代码部分,从而提高代码的质量。
12. JS 编码规范约束:JSLint、ESLint、TSLint
编码规范约束工具用于强制执行团队制定的代码编码规范,以确保代码的一致性和可维护性。常用的编码规范约束工具包括:
- JSLint: JSLint 是 Douglas Crockford 开发的 JavaScript 代码静态分析工具,它可以检测代码中的潜在错误和不良编码实践,并且提供了严格的编码规范检查。
-
ESLint: ESLint 是一个灵活的 JavaScript 代码静态分析工具,它支持可配置的规则和插件,并且提供了丰富的代码风格检查和自定义规则的功能。
-
TSLint: TSLint 是一个 TypeScript 代码静态分析工具,它类似于 ESLint,但专门用于 TypeScript 代码的检查和规范约束。
这些工具可以帮助开发团队在编码过程中识别出潜在的错误和不良编码实践,并且通过自定义规则和配置来强制执行团队制定的代码编码规范。
13. Jenkins 持续集成服务器
Jenkins 是一个开源的持续集成(CI)工具,用于自动化构建、测试和部署软件项目。通过 Jenkins,开发团队可以在代码提交到版本控制仓库后自动触发构建和测试流程,并且可以通过插件来集成其他工具,如测试工具、代码静态分析工具等,从而实现全自动化的软件开发和交付流程。
浏览器
1. 浏览器进程与线程
在现代浏览器中,通常会有多个进程和线程同时工作:
- 进程(Process): 浏览器是一个多进程的应用程序,每个标签页通常会运行在一个独立的进程中,这样可以提高稳定性和安全性,一个进程崩溃不会影响到其他进程。
-
线程(Thread): 在浏览器的进程中,会有多个线程同时执行不同的任务,常见的线程包括主线程、渲染线程、网络线程等。
-
主线程(Main Thread): 主线程负责处理用户输入、渲染页面、执行 JavaScript 等任务,是浏览器中最重要的线程。
-
渲染线程(Rendering Thread): 渲染线程负责将 HTML、CSS 和 JavaScript 转换为可视化的页面,然后将页面绘制到屏幕上。
-
网络线程(Networking Thread): 网络线程负责处理网络请求和响应,以及 DNS 解析等任务。
2. HTTP 与 HTTPS 协议
-
HTTP(HyperText Transfer Protocol): HTTP 是一种用于传输超文本数据的应用层协议,它基于 TCP 协议,通常使用 80 端口进行通信。HTTP 是一种无状态的协议,每个请求都是独立的,服务器不会保留客户端的状态信息。
-
HTTPS(HyperText Transfer Protocol Secure): HTTPS 是 HTTP 的安全版本,它通过 SSL/TLS 协议对数据进行加密和认证,保护通信过程中的数据安全性。HTTPS 使用 443 端口进行通信,通过数字证书来验证服务器的身份。
3. 常用的 AJAX 封装:Axios
Axios 是一个基于 Promise 的 HTTP 客户端,用于发送 AJAX 请求并处理响应数据。Axios 支持浏览器和 Node.js 环境,提供了丰富的功能和配置选项,如拦截器、取消请求、并发请求等。
// 示例:发送 GET 请求
axios.get('/api/data')
.then(response => {
console.log(response.data);
})
.catch(error => {
console.error(error);
});
4. 浏览器渲染原理
浏览器渲染页面的过程包括以下几个步骤:
- 解析 HTML: 浏览器解析 HTML 文件并构建 DOM 树。
- 解析 CSS: 浏览器解析 CSS 文件并构建 CSSOM 树。
- 合并 DOM 和 CSSOM: 将 DOM 树和 CSSOM 树合并成渲染树(Render Tree)。
- 布局(Layout): 根据渲染树计算每个元素的大小和位置,生成布局(Layout)。
- 绘制(Paint): 将布局绘制到屏幕上。
- 重绘与重排: 当页面的样式或布局发生变化时,浏览器会触发重绘(Repaint)和重排(Reflow),其中重排会引起布局的重新计算,性能开销较大,应尽量避免。
5. 重绘与重排
- 重绘(Repaint): 当页面的某个元素样式发生变化,但不影响其布局时,浏览器只需重新绘制该元素,而不需要重新计算布局。例如修改颜色、背景等。
-
重排(Reflow): 当页面的某个元素的尺寸或布局发生变化时,浏览器需要重新计算布局,并且可能需要重新绘制页面的一部分。重排的开销比重绘大得多,应尽量减少重排的次数。例如修改元素的宽度、高度、位置等。
6. 跨域通信相关
跨域通信是指在浏览器中,当一个域名下的页面试图与另一个域名下的页面进行数据交互时所面临的安全限制。常用的跨域通信方式包括:
- JSONP(JSON with Padding): 利用
<script>标签的跨域特性实现的一种跨域通信方式,缺点是只能发送 GET 请求,并且容易受到 XSS 攻击。 -
CORS(Cross-Origin Resource Sharing): 通过浏览器和服务器协商,在 HTTP 头部中添加特定的字段来实现跨域通信,是现代浏览器支持的标准方式。
-
代理: 在服务器端设置代理,将客户端的请求转发给目标服务器,然后将目标服务器的响应返回给客户端,从而绕过浏览器的同源策略。
7. DNS 寻址原理
DNS(Domain Name System)是一种用于将域名解析成 IP 地址的分布式数据库系统。DNS 寻址的过程包括以下几个步骤:
- 浏览器缓存: 浏览器首先会检查本地缓存中是否有对应域名的 IP 地址,如果有则直接使用。
-
操作系统缓存: 如果浏览器缓存中没有对应的 IP 地址,浏览器会向操作系统发起 DNS 查询请求,检查操作系统的 DNS 缓存中是否有对应的 IP 地址。
-
本地 DNS 服务器: 如果操作系统缓存中没有对应的 IP 地址,操作系统会向本地 DNS 服务器发送 DNS 查询请求
,本地 DNS 服务器会根据自身的 DNS 缓存和 DNS 路由表来解析域名,并将结果返回给客户端。
- 根域名服务器: 如果本地 DNS 服务器中没有对应的 IP 地址,本地 DNS 服务器会向根域名服务器发送 DNS 查询请求,根域名服务器会返回顶级域名服务器的 IP 地址。
-
顶级域名服务器: 本地 DNS 服务器收到顶级域名服务器的 IP 地址后,会向顶级域名服务器发送 DNS 查询请求,顶级域名服务器会返回二级域名服务器的 IP 地址。
-
递归查询: 本地 DNS 服务器会逐级向下查询,直到找到对应的域名解析结果,然后将结果返回给客户端,客户端可以根据得到的 IP 地址向目标服务器发送请求。
8. 浏览器缓存
浏览器缓存是指浏览器将请求过的资源保存在本地,以便在后续的请求中直接从本地获取,从而加快页面加载速度。浏览器缓存分为强缓存和协商缓存两种:
- 强缓存: 浏览器在发送请求前先检查本地缓存中是否存在该资源,并根据缓存策略决定是否使用缓存。常见的强缓存策略包括 Expires 和 Cache-Control。
-
协商缓存: 当强缓存失效时,浏览器会发送请求到服务器,服务器根据请求头中的 If-Modified-Since 或 If-None-Match 字段来判断资源是否发生变化。如果资源未发生变化,则返回 304 状态码,浏览器直接使用本地缓存。
性能优化
1. 网络请求优化
-
HTTP/2 Server Push: 利用 HTTP/2 的 Server Push 功能,在客户端请求主资源时主动推送相关的资源,以减少往返时间和页面加载时间。
-
CDN 边缘缓存: 在 CDN 边缘缓存关键资源,使用户能够更快地访问这些资源,减少网络延迟和传输时间。
2. 资源精简
-
微前端架构: 将大型前端应用拆分为多个独立的微前端,每个微前端都可以独立开发、部署和优化,以提高整体应用的性能和可维护性。
-
Webpack 优化: 深入了解 Webpack 的工作原理和优化技巧,如使用 DllPlugin 和 HardSourceWebpackPlugin 进行缓存,利用 tree shaking 和代码分割等。
3. 渲染优化
-
服务端渲染(SSR)优化: 深入了解 SSR 技术的原理和实现方式,通过减少首次渲染的时间和提高 TTI(Time to Interactive)来优化应用程序性能。
-
虚拟列表和虚拟滚动: 对于长列表或大型数据集,使用虚拟列表或虚拟滚动技术,只渲染可见区域的内容,减少 DOM 元素数量,提高渲染性能。
4. 图片优化
-
WebP 和 AVIF 格式: 探索新的图片格式,如 WebP 和 AVIF,它们可以提供更好的压缩率和图片质量,从而减少页面加载时间。
-
图片预加载和懒加载: 对于需要提前加载的图片,使用预加载技术,而对于不是立即可见的图片,使用懒加载技术,以减少不必要的网络请求和提高用户体验。
5. 动画优化
-
使用 Web 动画 API: 使用 Web 动画 API(如 FLIP 技术)来创建更高效的动画,利用硬件加速和 requestAnimationFrame 来提高动画的性能和流畅度。
-
GPU 加速和离屏渲染: 了解浏览器的 GPU 加速原理和离屏渲染机制,合理使用 CSS3 属性和合成层,以提高动画的性能和渲染效果。
6. 代码优化
-
性能测试与调优: 使用性能测试工具(如 Lighthouse、WebPageTest)对应用进行性能测试,并根据测试结果进行代码优化和性能调优。
-
代码分析与优化: 对代码进行静态分析和性能分析,识别潜在的性能问题和瓶颈,并针对性地进行代码优化和重构。
-
持续集成与部署优化: 优化持续集成和部署流程,使用自动化工具和流程,确保每次代码提交都能够快速、稳定地发布到生产环境,减少潜在的性能问题和风险。
Web安全
1. XSS 跨站脚本攻击方式及防范
攻击方式:
-
存储型 XSS: 攻击者将恶意脚本存储在服务器端,当用户访问包含恶意脚本的页面时,恶意脚本被执行。
-
反射型 XSS: 攻击者将恶意脚本作为参数附加在 URL 中,当用户点击包含恶意脚本的链接时,恶意脚本被执行。
-
DOM 型 XSS: 攻击者通过修改页面的 DOM 结构,将恶意脚本注入到页面中,当用户访问包含恶意脚本的页面时,恶意脚本被执行。
防范措施:
-
输入验证: 对用户输入的数据进行严格的验证和过滤,移除或转义特殊字符,确保用户输入的内容不会被当做脚本执行。
-
输出转义: 在将用户输入的数据输出到页面时,使用合适的转义方法(如 HTML 转义)来确保用户输入的内容不会被解释为 HTML 或 JavaScript 代码。
-
设置 HTTP 头: 使用 Content Security Policy(CSP)等 HTTP 头来限制页面中可执行的脚本来源,减少 XSS 攻击的可能性。
-
安全编码实践: 使用安全编码实践来编写代码,避免使用 eval()、document.write() 等不安全的 JavaScript 方法,以及避免拼接用户输入到 HTML、JavaScript 中。
2. CSRF 跨站请求伪造攻击方式及防范
攻击方式:
CSRF 攻击利用用户在已登录的状态下的身份验证信息来伪造用户的请求,导致用户在不知情的情况下执行恶意操作,如转账、修改密码等。
防范措施:
- 添加 CSRF Token: 在每个表单提交或重要的请求中添加一个随机生成的 CSRF Token,并验证该 Token 的有效性,以防止 CSRF 攻击。
-
同源检测: 通过检查请求的来源域名(Origin 或 Referer 头)来验证请求的来源是否合法,确保请求来自于同一域名。
-
使用 SameSite Cookie 属性: 将 Cookie 设置为 SameSite 属性,限制第三方站点对 Cookie 的访问,减少 CSRF 攻击的风险。
-
验证用户操作: 在执行敏感操作前,要求用户进行二次验证,如输入密码、短信验证码等,以确保用户的操作是合法的。
-
敏感操作限制: 对于一些敏感操作(如修改密码、删除数据等),要求用户在进行操作前输入当前密码进行身份验证,以降低 CSRF 攻击的成功率。
其他技术
1. Websocket
-
客户端代码示例解释:
- 首先创建一个 WebSocket 实例,指定连接的 URL。
- 设置
onopen、onmessage和onclose事件处理程序,用于处理连接建立、接收消息和连接关闭事件。
客户端代码(JavaScript):
// 客户端代码示例
const socket = new WebSocket('ws://localhost:8080');
socket.onopen = function() {
console.log('WebSocket 连接已建立');
};
socket.onmessage = function(event) {
console.log('接收到消息:', event.data);
};
socket.onclose = function() {
console.log('WebSocket 连接已关闭');
};
- 服务器端代码示例解释:
- 使用 WebSocket 模块创建一个 WebSocket 服务器,并指定端口号。
- 监听
connection事件,当有客户端连接时触发。 - 在连接建立后,监听客户端发送的消息,并向客户端发送回复消息。
服务器端代码(Node.js):
// 服务器端代码示例
const WebSocket = require('ws');
const wss = new WebSocket.Server({ port: 8080 });
wss.on('connection', function(ws) {
console.log('客户端已连接');
ws.on('message', function(message) {
console.log('接收到消息:', message);
ws.send('服务器收到消息:' + message);
});
});
2. Service Worker
- Service Worker 注册解释:
- 首先检查浏览器是否支持 Service Worker。
- 在页面加载时,注册 Service Worker,指定 Service Worker 文件的路径。
- 注册成功后,可以在 Service Worker 文件中编写拦截和处理网络请求的逻辑。
- service-worker.js 解释:
- 监听
fetch事件,当页面发出网络请求时触发。 - 在
fetch事件处理程序中,可以拦截网络请求并进行相应的处理,如返回缓存的数据或向服务器发出请求。
- 监听
// Service Worker 注册
if ('serviceWorker' in navigator) {
window.addEventListener('load', function() {
navigator.serviceWorker.register('/service-worker.js')
.then(function(registration) {
console.log('Service Worker 注册成功:', registration);
})
.catch(function(error) {
console.log('Service Worker 注册失败:', error);
});
});
}
// service-worker.js
self.addEventListener('fetch', function(event) {
// 拦截网络请求并进行处理
console.log('拦截到请求:', event.request);
});
3. GraphQL
- 客户端查询示例解释:
- 使用
fetchAPI 发送 POST 请求到 GraphQL 服务器。 - 请求的 body 中包含一个 GraphQL 查询字符串,用于指定客户端需要获取的数据结构和字段。
- 服务器返回响应结果,包含了客户端所需的数据。
- 使用
// 客户端查询示例
fetch('/graphql', {
method: 'POST',
headers: {
'Content-Type': 'application/json',
'Authorization': 'Bearer YOUR_ACCESS_TOKEN'
},
body: JSON.stringify({
query: `
query {
user(id: 123) {
id
name
email
}
}
`
})
})
.then(response => response.json())
.then(data => console.log('查询结果:', data))
.catch(error => console.error('查询失败:', error));
4. React Native
- React Native 组件示例解释:
- 创建一个简单的 React Native 应用,显示一段文本。
- 使用
import导入 React 和 React Native 的相关模块。 - 创建一个
App组件,返回一个包含Text组件的View组件。 - 使用
AppRegistry.registerComponent方法注册App组件,并在main函数中启动应用。
// React Native 组件示例
import React from 'react';
import { Text, View } from 'react-native';
const App = () => {
return (
<View style={{ flex: 1, justifyContent: 'center', alignItems: 'center' }}>
<Text>Hello, React Native!</Text>
</View>
);
}
export default App;
5. Flutter
- Flutter Widget 示例解释:
- 创建一个简单的 Flutter 应用,显示一段文本。
- 使用
import导入 Flutter 的相关模块。 - 创建一个
MyApp类,继承自StatelessWidget,并实现build方法,返回一个包含Text组件的Scaffold组件。 - 在
main函数中启动应用,并指定应用的入口组件为MyApp。
// Flutter Widget 示例
import 'package:flutter/material.dart';
void main() {
runApp(MyApp());
}
class MyApp extends StatelessWidget {
@override
Widget build(BuildContext context) {
return MaterialApp(
home: Scaffold(
appBar: AppBar(
title: Text('Flutter Demo'),
),
body: Center(
child: Text('Hello, Flutter!'),
),
),
);
}
}
6. 小程序
- 小程序页面示例解释:
- 在 WXML 中创建一个包含一段文本的
view组件。 - 使用
text组件显示一段静态文本内容。 - 在 WXSS 中定义
.container类,设置样式为居中显示,并铺满整个页面高度。
- 在 WXML 中创建一个包含一段文本的
<!-- 小程序页面示例(WXML) -->
<view class="container">
<text>Hello, 小程序!</text>
</view>
/* 小程序样式示例(WXSS) */
.container {
display: flex;
justify-content: center;
align-items: center;
height: 100vh;
}