本文目录一览:
- 1、vue前端面试题
- 2、web前端需要掌握的哪些知识
- 3、Vue页面回退参数丢失
- 4、web前端vue实现插值文本和输出原始html
- 5、vue2响应式原理总结
- 6、Web前端新手应该如何防御XSS攻击
vue前端面试题
我们可以将同一函数定义为一个 methods 或者一个计算属性。对于最终的结果,两种方式是相同的
localStorage :没有对XSS攻击有任何防御机制,存在xss攻击,每次调接口的时候都把它当成一个字段传给后台
cookie :自动发送,缺点不能跨域,缺点是不符合restful更佳实践,容易受到CSRF攻击
强缓存:from disk form memory
虚拟DOM的Diff算法
web前端需要掌握的哪些知识
一个合格的web前端需要掌握哪些技术?
最基础的自然是JavaScript,HTML和css这三种语言。
首先了解下它们到底是什么。
HTML是用户看到的网页的骨架,比如你会发现当前页面分为左中右三个部分,其中还填充了不同的文字和图片;每个子部分还会继续细分,比如当前页面的中间部分下方有输入框等等。
CSS是网页展示的细节控制,比如你会发现有的文字是红底白色,有的子部分占了页面的二分之一宽,有的只占六分之一,有些部分需要用户进行某些操作(如点击,滑动)才会出现等等,这些就是有CSS来控制。
JavaScript是负责捕捉用户在浏览器上的操作,并与后端服务器进行数据交换的脚本语言。当用户在前端进行点击,输入等操作的时候,会触动绑定了该动作的JavaScript脚本,然后JavaScript收集数据,调用后端的api接口,再将后端返回的数据交给HTML和CSS渲染出来。
一个网页的HTML代码和CSS代码是可以直接在浏览器中查看的,你可以直接按F12,就能看到下图右侧的模块,左右侧红框就是代码与实际页面的对应关系。因此如果你看到某个网站的布局很不错,不妨点击F12,进行学习。
前端框架
然而,实际应用中,已经很少有正规的项目组直接用上述三种语言进行web 前端开发了,而是使用很多封装了这三种语言的框架,比如
Vue.js
,angular,react native等等。它们是来自谷歌和Facebook的大神项目组,基于自己的经验,封装了原生前端语言,实现了更多更复杂更酷炫的功能。因此,可以说,学会使用这些框架,能达到事半功倍的效果。
比如用了vue,它是自底向上增量开发的设计,其核心只关心图层,而且还可以与其他库或已存项目融合,学习门槛极其友好;另一方面,vue可以驱动单文件组件和vue生态系统支持的库开发的复杂单页应用。有了这个生态系统,可以说,vue是处在一个不断壮大,不断完善的欣欣向荣的状态。
*** 通信协议
由于前后端分离的趋势,前端还需要了解很多 *** 通信协议的知识,这里不局限于http协议,因为据我的经验,有时候我们还会用到websocket等协议。因此,前端需要简单了解不同协议的特点以及使用方式,但是好消息是不用像学习计算机 *** 课程一样对每种协议的原理都了解的特别透彻,只要学会如何用前端语言发送这种协议的请求就够了。
Vue页面回退参数丢失
场景:A页面进入到B页面时,通过路由传参数,由B页面获取。B页面进入到C页面,回退到B页面(点击浏览器后退按钮,或手机后退功能)时参数丢失导致数据无法正常显示。
补充: C页面同样需要传入参数,且参数体包含B页面参数。(由于前置条件限制比较多,此解决方案比较取巧。)
通过度娘查找了一些方式,有的建议使用Vuex的,有的 建议使用LocalStorage/SessionStorage的 ,八仙过海,真是条条大路通罗马。
由于本人属于vue初学者,学习能力一般,很容易陷到发散的怪圈里(遇到一个新技术去查资料,在过程中又遇到一个新知识,导致如此循环,最终感觉这玩意太难了……),所以放弃了Vuex,觉得真正需要这个的时候再去了解学习吧。第二种方式在查询Storage时有人提出如果遇到XSS,使用Storage是不安全的,强迫症的突然发作,虽然现阶段只是学习,即使真正的使用环境也只是手机端,不存在修改网页内容的情况下,还是选择了放弃此方案。
于是乎触发了自身钻牛角尖的特性,尝试通过其他方式去解决这个问题。由于使用vue-route来跳转,决定在官方文档查找资料,看是否有途径可以解决。
先上最终的解决方案,通过 导航守卫 中的route.beforeRouteEnter解决了这个问题,可能还有更好的解决方式,现阶段对这种方案还是比较满意的,既没有发散学习点,也没有使用vue以外的技术。
paramB为需要的参数,由于C页面入参包含B页面入参,因此在B页面添加此配置,监控是否从C页面返回,来获取参数值显示相关数据。
在发现导航守卫这个东西时,感觉好像可以解决问题,本着拿来主义的想法,于是乎踩坑旅程开始了。
修改导航后,又重新回调了beforeRouteLeave *** ,再次进入判断,如此反复导致死循环。
遗留问题2:页面终于可以正常回退了,但是B页面需要点击2次才能回退到A页面。之一次点击回退时并没有触发B页面的beforeRouteLeave *** ,第二次真正回退到A页面时才触发了该 *** 。这是什么鬼?
看来不了解机制会死的很惨- -# 以后再慢慢研究吧
web前端vue实现插值文本和输出原始html
Vue.js
使用了基于
HTML
的模板语法,允许开发者声明式地将
DOM
绑定至底层
Vue
实例的数据。所有
Vue.js
的模板都是合法的
HTML
,所以能被遵循规范的浏览器和
HTML
解析器解析。
在vue里最常见的数据绑定是使用“Mustache”语法
(双大括号)
的文本插值:
spanMessage:
{{
value
}}/span
//
插值文本
无论何时,绑定的数据对象上
value
属性发生了改变,页面上都会响应的做出重新渲染。
或者有时候只是想更新一次,不想每次都更新数据了页面也重新渲染,可以通过
v-once指令也能实现一次性的更新:
span
v-once这个将不会改变:
{{
value
}}/span
//
value的值改变了一次后,第二次改变时就不会再重新渲染页面
有时候你插入的不是单单一个文本时,比如一个富文本的值时,它包含了各种文本值和各种原始的html的标签,要完整的显示到页面上,就得使用v-html的指令:
template
div
v-html="htmlvalue"/div
//
调用显示富文本,将会按照原始的html显示
/template
script
export
default
{
data(){
return{
htmlvalue:
'span
style="color:red;"the
should
be
red/span'
//
比如:这是一个富文本的值
}
}
}
/script
注意:你的站点上动态渲染的任意
HTML
可能会非常危险,因为它很容易导致XSS
攻击。请只对可信内容使用
HTML
插值,
绝不要
对用户提供的内容使用插值。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持脚本之家。
您可能感兴趣的文章:vue模板语法-插值详解
vue2响应式原理总结
vue组件实例化时,会对data属性深度遍历(遇到数组或者对象)为每一个属性添加数据劫持。数据劫持就是使用Object.defineProperty(de fai in pro pu tei) *** 添加get/set *** 。
在这个过程中会实例化一个Dep类。
1.在get拦截器里触发dep实例的depend *** ,进行依赖收集,实质是在dep的实例属性sub数组中添加依赖这个属性的watcher实例。
2.在set拦截器里触发dep实例的notify *** ,对收集到的所有依赖派发更新,(watcher的update *** )
vue组件实例化时会实例化一个渲染watcher,渲染watcher实例化过程会做两件事情。
1.创建vnode,在这个过程中,访问了data属性,触发了get *** ,完成了依赖收集。
2.触发了子组件的实例化,子组件实例化又会重复上述数据劫持的过程。
这个过程就是对组件树的深度遍历。
结合组件生命周期来看整个过程,父组件会先触发created钩子,子组件后触发created钩子。而子组件mouted钩子会先执行,父组件的mouted钩子后执行。
分步骤记忆
1、实现页面不刷新的原理
2、页面视图刷新的原理
实现页面不刷新
1.hash
2.history
3.abstract:支持所有 JavaScript 运行环境,如 Node.js 服务器端。如果发现没有浏览器的 API,路由会自动强制进入这个模式。
1.hash(哈希模式),#符号后边是浏览器行为,在改变的时候不对页面进行刷新(重新请求URL)(监听hashChange事件)
2.history模式,H5新增了pushState,replaceState连个新API,可以修改历史记录却不会使浏览器刷新页面。
视图更新原理
其原理就是vue的响应式更新dom的原理,m = v
m是数据,也就是在vue-router install时在根组件(root vue component)添加了_route属性,在匹配到对应路由后更新了_route属性值,继而触发了该属性值的渲染watcher,在继而触发dom更新。
两种模式的不同
1.部署时,history模式需要服务端处理所有可能的路径(例如配置nginx的配置文件),防止出现404。哈希模式则不需要。
2.URL表示不同。
v-model指令就是 v-bind:value 和 @input 的语法糖。
它即可以支持原生表单元素,也可以支持自定义组件
在自定义组件中其实际是这样的:
它的实现通过自定义render函数, 缓存了 vnode
Vue 在更新 DOM 时是异步执行的,只要侦听到数据变化,Vue 将开启一个队列,并缓冲在同一事件循环中发生的所有数据变更。
如果同一个 watcher 被多次触发,只会被推入到队列中一次。在缓冲时会去除重复数据避免不必要的计算和 DOM 操作。
$nextTick(cb) 目的是在DOM 更新完成后传入的回调函数再被调用。
Web前端新手应该如何防御XSS攻击
今天小编要跟大家分享的文章是关于Web前端新手应该如何防御XSS攻击。作为 *** 系工程师接触最多的漏洞我想就是XSS漏洞了,然而并不是所有的同学对其都有一个清晰的认识。今天我们分享一下XSS漏洞攻击,希望能帮助到大家。下面我们来一起看一看吧!
一、什么是XSS攻击
XSS(Cross-SiteScripting)又称跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行。XSS是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户的输入过滤不足而产生的。
常见的XSS攻击有三种:反射型、DOM-based型、存储型。其中反射型、DOM-based型可以归类为非持久型XSS攻击,存储型归类为持久型XSS攻击。
1、反射型
反射型XSS一般是攻击者通过特定手法(如电子邮件),诱使用户去访问一个包含恶意代码的URL,当受害者点击这些专门设计的链接的时候,恶意代码会直接在受害者主机上的浏览器执行。
对于访问者而言是一次性的,具体表现在我们把我们的恶意脚本通过URL的方式传递给了服务器,而服务器则只是不加处理的把脚本“反射”回访问者的浏览器而使访问者的浏览器执行相应的脚本。反射型XSS的触发有后端的参与,要避免反射性XSS,必须需要后端的协调,后端解析前端的数据时首先做相关的字串检测和转义处理。
此类XSS通常出现在网站的搜索栏、用户登录口等地方,常用来窃取客户端Cookies或进行钓鱼欺骗。
整个攻击过程大约如下:
2、DOM-based型
客户端的脚本程序可以动态地检查和修改页面内容,而不依赖于服务器端的数据。例如客户端如从URL中提取数据并在本地执行,如果用户在客户端输入的数据包含了恶意的JavaScript脚本,而这些脚本没有经过适当的过滤和消毒,那么应用程序就可能受到DOM-basedXSS攻击。需要特别注意以下的用户输入源document.URL、location.hash、location.search、document.referrer等。
整个攻击过程大约如下:
3、存储型
攻击者事先将恶意代码上传或储存到漏洞服务器中,只要受害者浏览包含此恶意代码的页面就会执行恶意代码。这就意味着只要访问了这个页面的访客,都有可能会执行这段恶意脚本,因此储存型XSS的危害会更大。
存储型XSS一般出现在网站留言、评论、博客日志等交互处,恶意脚本存储到客户端或者服务端的数据库中。
整个攻击过程大约如下:
二、XSS攻击的危害
XSS可以导致:
1、攻击劫持访问;
2、盗用cookie实现无密码登录;
3、配合csrf攻击完成恶意请求;
4、使用js或css破坏页面正常的结构与样式等;
三、防御 ***
1、XSS防御之HTML编码
应用范围:将不可信数据放入到HTML标签内(例如div、span等)的时候进行HTML编码。
编码规则:将"'/转义为实体字符(或者十进制、十六进制)。
示例代码:
_unction_ncodeForHTML(str,_wargs){
__return(''+_tr)
___.replace(//g,'')
___.replace(/,'')__//_EC=_EX=_ntity=
___.replace(//g,'')
___.replace(/"/g,'"')
___.replace(/'/g,''')_//'_煌萍觯蛭辉_TML规范中
___.replace(/\//g,'/');
_};
HTML有三种编码表现方式:十进制、十六进制、命名实体。例如小于号(
2、XSS防御之HTMLAttribute编码
应用范围:将不可信数据放入HTML属性时(不含src、href、style和事件处理属性),进行HTMLAttribute编码
编码规则:除了字母数字字符以外,使用HH;(或者可用的命名实体)格式来转义ASCII值小于256所有的字符
示例代码:
_unction_ncodeForHTMLAttibute(str,_wargs){
__let_ncoded='';
__for(let_=0;____let_h=_ex=_tr[i];
___if(!/[A-Za-z0-9]/.test(str[i])_tr.charCodeAt(i)____hex=''+_h.charCodeAt(0).toString(16)+';';
___}
___encoded+=_ex;
__}
__return_ncoded;
_};
3、XSS防御之JavaScript编码
作用范围:将不可信数据放入事件处理属性、JavaScirpt值时进行JavaScript编码
编码规则:除字母数字字符外,请使用xHH格式转义ASCII码小于256的所有字符
示例代码:
_unction_ncodeForJavascript(str,_wargs)_
__let_ncoded='';
__for(let_=0;____let_c=_ex=_tr[i];
___if(!/[A-Za-z0-9]/.test(str[i])_tr.charCodeAt(i)____hex='\\x'+_c.charCodeAt().toString(16);
___}
___encoded+=_ex;
__}
__return_ncoded;
_};
4、XSS防御之URL编码
作用范围:将不可信数据作为URL参数值时需要对参数进行URL编码
编码规则:将参数值进行encodeURIComponent编码
示例代码:
_function_ncodeForURL(str,_wargs){
__return_ncodeURIComponent(str);
_};
5、XSS防御之CSS编码
作用范围:将不可信数据作为CSS时进行CSS编码
编码规则:除了字母数字字符以外,使用XXXXXX格式来转义ASCII值小于256的所有字符
示例代码:
_unction_ncodeForCSS(attr,_tr,_wargs){
__let_ncoded='';
__for(let_=0;____let_h=_tr.charAt(i);
___if(!ch.match(/[a-zA-Z0-9]/)_
____let_ex=_tr.charCodeAt(i).toString(16);
____let_ad='000000'.substr((hex.length));
____encoded+='\\'+_ad+_ex;
___}_lse_
____encoded+=_h;
___}
__}
__return_ncoded;
_};
后记
在任何时候用户的输入都是不可信的。对于HTTP参数,理论上都要进行验证,例如某个字段是枚举类型,其就不应该出现枚举以为的值;对于不可信数据的输出要进行相应的编码;此外httpOnly、CSP、X-XSS-Protection、SecureCookie等也可以起到有效的防护。
XSS漏洞有时比较难发现,所幸当下React、Vue等框架都从框架层面引入了XSS防御机制,一定程度上解放了我们的双手。
但是作为开发人员依然要了解XSS基本知识、于细节处避免制造XSS漏洞。框架是辅助,我们仍需以人为本,规范开发习惯,提高Web前端安全意识。
以上就是小编今天为大家分享的关于Web前端新手应该如何防御XSS攻击的文章,希望本篇文章能够对正在从事web前端工作的小伙伴们有所帮助。想要了解更多web前端相关知识记得关注北大青鸟web培训官网。最后祝愿小伙伴们工作顺利!
作者:公子
链接:#/a/1190000017057646