avatar-decorate
还在挣扎的螃蟹 level
获赞
342
粉丝
223
关注
0
看过 TA
1032
门头沟学院
2019
Web前端
IP属地:四川
暂无介绍
私信
关注
发布(301) 评论 刷题 收藏
头像
2023-02-06 16:16
已编辑
门头沟学院 Web前端
什么是 CSRF 攻击?
1.概念: CSRF 攻击指的是跨站请求伪造攻击,攻击者诱导用户进入一个第三方网站,然后该网站向被攻击网站发送跨站请求。如果用户在被攻击网站中保存了登录状态,那么攻击者就可以利用这个登录状态,绕过后台的用户验证,冒充用户向服务器执行一些操作。 CSRF 攻击的本质是利用 cookie 会在同源请求中携带发送给服务器的特点,以此来实现用户的冒充。 2.攻击类型: 常见的 CSRF 攻击有三种: GET 类型的 CSRF 攻击:比如在网站中的一个 img 标签里构建一个请求,当用户打开这个网站的时候就会自动发起提交。 POST 类型的 CSRF 攻击:比如构建一个表单,然后隐藏它,当用户进入页面时...
前端面试题
0 点赞 评论 收藏
分享
头像
2023-02-06 16:07
门头沟学院 Web前端
什么是 XSS 攻击?
1.概念 XSS 攻击指的是跨站脚本攻击,是一种代码注入攻击。攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信息如 cookie 等。 XSS 的本质是因为网站没有对恶意代码进行过滤,与正常的代码混合在一起了,浏览器没有办法分辨哪些脚本是可信的,从而导致了恶意代码的执行。 攻击者可以通过这种攻击方式可以进行以下操作: 获取页面的数据,如 DOM、cookie、localStorage; DOS 攻击,发送合理请求,占用服务器资源,从而使用户无法访问服务器; 破坏页面结构; 流量劫持(将链接指向某网站);2.攻击类型XSS 可以分为存储型、反射型和 DOM 型:存储型指的...
前端面试题
0 点赞 评论 收藏
分享
头像
2023-02-06 15:33
门头沟学院 Web前端
0 点赞 评论 收藏
分享
头像
2023-02-06 15:08
已编辑
门头沟学院 Web前端
网路劫持有哪几种,如何防范?
网络劫持分为两种: 1.DNS劫持: (输入京东被强制跳转到淘宝,这就属于DNS劫持) DNS强制解析: 通过修改运营商的本地DNS记录,来引导用户流量到缓存服务器。 302跳转的方式: 通过监控网路出口的流量,分析判断哪些内容是可以进行劫持处理的,再对劫持的内存发起302跳转的回复,引导用户获取内容 2.HTTP劫持: (访问谷歌,但是一直有贪玩蓝月的广告) 由于http明文传输,运营商会修改你的http响应内容(即加广告)总结: DNS劫持由于涉嫌违法,已经监管起来,现在很少有DNS劫持, 而http劫持依旧非常盛行,最有效的办法就是全站https,将http加密,这使得运营商无法获得明文...
前端面试题
0 点赞 评论 收藏
分享
头像
2023-02-06 14:22
门头沟学院 Web前端
HTTP Cookie 、Web Storage API
1.HTTP Cookie(也叫 Web Cookie 或浏览器 Cookie)在浏览器中存储数据的一种方式是:http cookie或Web Cookie或浏览器cookieHTTP Cookie是服务器发送到用户浏览器并保存在本地的一小块数据。浏览器会存储 cookie 并在下次向同一服务器再发起请求时携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器——如保持用户的登录状态。Cookie 使基于无状态的 HTTP 协议记录稳定的状态信息成为了可能。Cookie 主要用于以下三个方面:Cookie 曾一度用于客户端数据的存储,因当时并没有其它合适的存储办法而作为唯一的存...
前端面试题
0 点赞 评论 收藏
分享
头像
2023-02-06 14:00
门头沟学院 Web前端
HTTP缓存
http缓存存储与请求关联的响应,并将存储的响应复用于后续请求。可复用性有几个优点: 1.首先,由于不需要将请求传递给源服务器,因此客户端和缓存越近,响应速度就越快。最典型的例子就是浏览器本身为刘安祺请求存储缓存。 2.此外,当响应可复用时,源服务器不需要处理请求———因为他不需要解析和路由请求,根据cookie恢复会话、查询数据库以获取结果或渲染模板引擎,这减少了服务器上的负载。缓存的正确操作对系统的稳定运行至关重要。HTTP 缓存标准中,有两种类型的缓存: 私有缓存(通常是浏览器缓冲)和共享缓存(代理缓存和托管缓存)私有缓存(通常是浏览器缓冲) 私有缓存是绑定到特定客户端的缓存——通常是浏...
前端面试题
0 点赞 评论 收藏
分享
头像
2023-02-06 12:00
门头沟学院 Web前端
协商缓存和强缓存的区别?
1.强缓存 使用强缓存策略时,如果缓存资源有效,则直接使用缓存资源,不必再向服务器发起请求。 强缓存策略可以通过两种方式来设置: 分别是http头信息中的Expires属性和Cache-Control属性。 1.服务器通过在响应头中添加Expires属性,来指定资源的过期时间。 在过期时间以内,该资源可以被缓存使用,不必再向服务器发送请求。 这个时间是一个绝对时间,它是服务器的时间, 因此可能存在这样的问题,就是客户端的时间和服务器端的时间不一致, 或者用户可以对客户端时间进行修改的情况,这样就可能会影响缓存命中的结果。 2.Expires是http1.0中的方式,因为它的一些缺点, 在HTT...
前端面试题
0 点赞 评论 收藏
分享
头像
2023-03-28 12:41
已编辑
门头沟学院 Web前端
浏览器:对浏览器的缓存机制的理解(五颗星)
浏览器缓存的全过程: 1.浏览器第一次加载资源,服务器返回200, 浏览器从服务器下载资源文件,并缓存资源文件与response header,以供下次加载时对比使用; 2.下一次加载资源时,由于强制缓存优先级较高, 先比较当前时间与上一次返回200时的时间差, 如果没有超过cache-control设置的max-age,则没有过期,并命中强缓存,直接从本地读取资源。 3. 如果浏览器不支持http1.1,则使用expires头判断是否过期; 如果资源已过期,则表明强制缓存没有被命中, 4.强制缓存没有被命中,则开始协商缓存, 向服务器发送带有if-None-Match和If-Modified...
前端面试题
0 点赞 评论 收藏
分享
头像
2023-03-27 15:41
已编辑
门头沟学院 Web前端
浏览器渲染进程的线程有哪些?
浏览器的渲染进程的线程总共有五种:    1.GUI渲染线程 负责渲染浏览器页面,解析HTML、CSS,构建DOM树、构建CSSOM规则树、构建渲染树、绘制页面;当界面需要重绘或由于某种操作引发回流时,该线程就会执行。 注意:GUI渲染线程和JS引擎线程是互斥的,当JS引擎执行时,GUI线程就会被挂起,GUI更新会被保存在一个队列中等到JS引擎空闲时立即被执行。  2.JS引擎线程 JS引擎线程也称为JS内核,负责处理Javascript脚本程序,解析javascript脚本,运行代码;JS引擎线程一直等待着任务队列中任务的到来,然后加以处理,一个tab页中无论什么时候都只有一个JS引擎线程在...
前端面试题
0 点赞 评论 收藏
分享
头像
2023-02-04 17:23
门头沟学院 Web前端
浏览器的渲染过程
浏览器渲染主要有以下步骤: 1.首先解析收到的文档,根据文档定义构建一颗DOM树,DOM树是由DOM元素及属性节点组成的。 2.然后对CSS进行解析,生成CSSOM规则树。 3.根据DOM树和CSSOM规则树构建渲染树。 渲染树的节点被称为渲染对象, 渲染对象是一个包含有颜色和大小等属性的矩形,渲染对象和DOM元素相对应,但这种对应关系不是一对一的, 不可见的Dom元素不会被插入渲染树。 还有一些DOM元素对应几个可见对象,他们一般是一些具有复杂结构的元素,无法用一个矩形来描述。 4.当渲染对象被创建并添加到树中,他们并没有位置和大小,所以当浏览器生成渲染树以后,就会根据渲染树来进行布局(也可...
前端面试题
0 点赞 评论 收藏
分享
头像
2023-02-04 14:21
门头沟学院 Web前端
0 点赞 评论 收藏
分享
头像
2023-02-04 14:21
门头沟学院 Web前端
0 点赞 评论 收藏
分享
头像
2023-02-03 23:59
门头沟学院 Web前端
CSRF和XSS的网络攻击及防范
1.CSRF(cross site request forgery,中文:跨站请求伪造): 字面意思是在别的站点伪造了一个请求。专业术语来说是在受害者访问一个网络时,其cookie还没有过期的情况下,攻击者伪造一个链接地址发送受害者并欺骗让其点击,从而形成CSRF攻击。 跨站请求伪造,可以理解为攻击者盗用了用户的身份,以用户的名义发送了恶意请求,比如用户登录了一个网站后,立刻在另一个tab页面访问攻击者用来制造攻击的网站,这个网站要求访问刚刚登陆的网站,并发送了一个恶意请求,这时候CSRF就产生了,呢比如这个制造攻击的网站使用了一张图片,但是这种图片的链接却是可以修法数据库的,这时候攻击者就可...
前端面试题
0 点赞 评论 收藏
分享

创作者周榜

更多
关注他的用户也关注了:
牛客网
牛客网在线编程
牛客网题解
牛客企业服务