HECHEN***的博客

V8采用分代式垃圾回收机制，将堆内存分为新生代和老生代。新生代使用Scavenge算法，将内存分为From/To空间，通过复制存活对象实现回收；老生代使用标记清除和标记压缩算法，采用增量标记和并发标记优化性能。内存泄漏常见原因包括：意外创建全局变量、未清除的定时器、未释放的DOM引用以及不合理使用闭包。这些都会导致对象无法被回收，从而占用内存空间。

同源策略：protocol（协议）、domain（域名）、port（端口）三者必须一致。同源策略限制了从同一个源加载的文档或脚本与另一个源的资源进行交互。这是浏览器的一个用于隔离潜在恶意文件的重要的安全机制。跨域问题其实就是浏览器的同源策略造成的。当前域下的 js 脚本不能够访问其他域下的 cookie、localStorage 和 indexDB；当前域下的 js 脚本不能够操作访问操作其他域下的 DOM。当前域下 ajax 无法发送跨域请求。同源政策的目的主要是为了保证用户的信息安全，它。

浏览器渲染过程及优化策略 浏览器渲染过程分为构建DOM树、CSSOM树，合成渲染树后进行布局和绘制。关键优化点包括：1) JavaScript使用async/defer异步加载，避免阻塞；2) CSS采用link引入而非@import；3) 减少DOM层级和CSS选择器复杂度；4) 通过文档片段、脱离文档流等方式减少回流重绘。关键渲染路径优化需减少关键资源数量、压缩资源大小、优化加载顺序。注意script标签会阻塞DOM构建，合理使用defer/async属性可提升首屏渲染速度。预解析机制允许并行加载后续资

其次，给上述的例子中每个列表项都绑定事件，在很多时候，需要通过 AJAX 或者用户操作动态的增加或者去除列表项元素，那么在每一次改变的时候都需要重新给新增的元素绑定事件，给即将删去的元素解绑事件；如果用了事件委托就没有这种麻烦了，因为事件是绑定在父层的，和目标元素的增减是没有关系的，执行到目标元素是在真正响应执行事件函数的过程中去匹配的，所以使用事件在动态绑定事件的情况下是可以减少很多重复工作的。这样的事件，虽然有事件冒泡，但是只能不断通过位置去计算定位，对性能消耗高，因此也是不适合于事件委托的。

ServiceWorker是一种浏览器后台线程技术，主要用于实现网页缓存功能。它通过HTTPS协议运行以确保安全，工作流程包括：注册ServiceWorker、监听install事件缓存指定文件、拦截请求时优先使用缓存。示例代码展示了注册ServiceWorker和缓存文件的基本实现，开发者可通过浏览器开发者工具检查ServiceWorker状态和缓存内容。该技术能有效提升网页加载速度，改善用户体验。

文章摘要：中间人攻击(MITM)通过拦截通信数据实施攻击，防范需使用加密技术。前端安全问题包括XSS、CSRF、iframe滥用和恶意第三方库，需严格限制用户输入并验证来源。网络劫持有DNS劫持和HTTP劫持两种，防范措施包括使用HTTPS加密传输，避免运营商篡改内容。全站HTTPS是当前最有效的防劫持方案。

CSRF攻击是一种利用用户登录状态伪造请求的网络攻击方式，攻击者通过诱导用户访问恶意链接或表单，冒充用户执行敏感操作。主要类型包括GET、POST和链接型CSRF攻击。防御措施包括：同源检测（检查Origin/Referer字段）、CSRF Token验证（服务器生成随机Token）、双重Cookie验证（比较Cookie和URL参数）以及设置Cookie的SameSite属性（限制第三方使用）。这些方法各有优缺点，需结合实际场景选择组合使用，以有效防范CSRF攻击。

CSRF（Cross-site request forgery），中文名称：跨站请求伪造。容易造成个人隐私泄露以及财产安全。以你的名义发送恶意请求，攻击者盗用了你的身份，· 使用token；