博客记录了面试中的问题及解答,涵盖数据结构中根据前序和中序遍历求二叉树结构,前端的HTTP请求方法、跨域问题(如JSONP、CORS)、前端安全(XSS、CSRF)、TCP连接断开过程、存储区别、协议区别,还提及前端工程化的模块化、组件化、规范化和自动化。
- 一开始是数据结构的题,二叉树相关,已知前序遍历和中序遍历的结果,求树的结构,这个讲了一下思路面试官就给过了。
前序遍历是从根节点开始遍历,先便利左节点,再便利右节点;中序遍历先便利左节点,再访问根节点,再访问右节点。 - http请求方法有哪些?
http1.0:get、post、head、http1.1:options、put、delete、connect、trace - 跨域问题遇过吗?什么办法可以解决?讲了一下cors,jsonp,websocket,postmessage,反向代理等
一、JSONP的原理:(举例:a.com/jsonp.html想得到b.com/main.js中的数据)在a.com的jsonp.html里创建一个回调函数xxx,动态添加< script >元素,该元素包含了main.js的请求url为跨域url,向服务器发送请求,请求地址后面加上查询字符串,通过callback参数指定回调函数的名字。请求地址为 http://b.com/main.js?callback=xxx。在main.js中调用这个回调函数xxx,并且以JSON数据形式作为参数传递,完成回调。(动态生成一个Script标签,其src由接口url、请求参数、callback函数名拼接而成,利用js标签没有跨域限制的特性实现跨域请求。)手写jsonphttps://blog.youkuaiyun.com/kumayato/article/details/73161980
对于jsonp理解的一些补充:这样子解决方案就呼之欲出了,web客户端通过与调用脚本一模一样的方式,来调用跨域服务器上动态生成的js格式文件(一般以JSON为后缀),显而易见,服务器之所以要动态生成JSON文件,目的就在于把客户端需要的数据装入进去。
https://www.jianshu.com/p/43b48648c730
客户端在对JSON文件调用成功之后,也就获得了自己所需的数据,剩下的就是按照自己需求进行处理和展现了,这种获取远程数据的方式看起来非常像AJAX,但其实并不一样。
该协议的一个要点就是允许用户传递一个callback参数给服务端,然后服务端返回数据时会将这个callback参数作为函数名来包裹住JSON数据,这样客户端就可以随意定制自己的函数来自动处理返回数据了。
jsonp有两部分组成:回调函数和数据,回调函数是响应达到时应该在页面中调用的函数,回调函数的名称一般是在请求中指定,而数据就是传入回调函数中的json数据
优点:能够直接访问响应文本,支持在浏览器和服务器之间双向通信
采用jsonp跨域也存在问题:
- 使用这种方法,只要是个网站都可以拿到b.com里的数据,存在安全性问题。需要网站双方商议基础token的身份验证,这里不详述。
- 只能是GET,不能POST。因为js标签本身就是一个get请求
- 可能被注入恶意代码,篡改页面内容,可以采用字符串过滤来规避此问题。
二.cors
cors背后原理就是通过自定义的http头部让浏览器和服务器进行沟通
在发送请求时,附加一个额外的origin头部,其中包含(协议,域名,端口号),以便服务器根据这个头部信息来决定是否给予响应
如果服务器认为可以接受,就在access-control-allow-origin头部中发回相同的源信息 - 讲一下前端安全?xss,csrf,说一下他们具体是什么,如何预防?
一、xss介绍
当应用程序收到不可信的数据,在没有进行适当的验证和转义的情况下,就将它发送给了浏览器,就会产生跨域脚本攻击(xss),xss允许攻击者在受害者的浏览器上执行脚本,从而劫持用户会话,产生危害,或者将用户回话转移到其他恶意网站上。
二、csrf,跨域请求伪造,一个跨域请求伪造攻击可以迫使登录用户的浏览器将伪造的http请求,包括cookie和其他的一些用户信息,发送到一个存在漏洞的web应用程序上,而应用程序会认为这是一个合法的请求。
本质:重要操作的所有参数都是可以被攻击者猜测到的。攻击者预测出URL的所有参数与参数值,才能成功地构造一个伪造的请求。
能注入恶意的HTML/JavaScript代码到用户浏览的网页上,从而达到Cookie资料窃取、会话劫持、钓鱼欺骗等攻击。<攻击代码不一定(非要)在 中>
-
TCP连接和断开过程(三次招手,四次挥手)
-
cookie localStorage sessionStorage有什么区别?
-
https和http有什么区别?(TLS套接层协议)如果登陆的请求是https,而其它的请求是http的会出现什么问题?(一开始答了跨域的问题,后来想了一下,答了cookie会加密,可能导致其它请求无法通过身份验证)
-
webpack和glup
一、对前端工程化的理解:
我所理解的前端工程化主要应该从模块化、组件化、规范化、自动化四个方面来思考。
模块化:就是将一个大文件拆分成相互依赖的小文件,再进行统一的拼装和加载。只有这样,才有多人协作的可能。
组件化:如果说模块化只是一种理论支持的话,那么把页面组件化就是一种具体实施了,组件化基于模块化,将页面分割成多个组件来拼接完成,这样更便于维护和测试。
规范化:代码规范,格式规范,目录结构规范,接口规则规范。
自动化:一些重复和繁琐的工作,可以直接交给自动化工具来完成,coder只需要简单的配置一些文件即可了。
扫一扫
176万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
