性能与安全
关注
分享
扫一扫
文章平均质量分 85
讲解 Web 性能优化与安全防御知识
北冥有一鲲
四年前端开发,两年管理。主要从事 hybrid app 开发,熟悉 vue 框架、nodejs 和 php,擅长微信公众号和小程序开发。目标是全栈工程师,正朝此目标奋斗中。
展开
-
HTTPS 原理及部署
HTTP 和 HTTPS如果你之前了解过计算机网络,那么你一定听说过 HTTP 协议。HTTP 协议的全称为 HyperText Transfer Protocol,即超文本传输协议。HTTP 协议位于 OSI 七层网络模型中的第七层——应用层。Web 服务器上的所有资源的传输都遵守该协议,用户通过浏览器进行资源的查看和下载。RFC 2616 定义了 HTTP 1.1。简单回顾一下 HTT...原创 2018-10-10 23:49:05 · 327 阅读 · 0 评论 -
Web 性能优化之渲染层
在上一篇《Web 性能优化之传输层》介绍了传输层浏览器和网络所做的事情,以及根据这期间的情况我们可以做出的优化。这一篇,我将介绍浏览器的渲染流程,以及根据渲染流程我们可以做出的优化。浏览器渲染流程浏览器架构在介绍浏览器渲染流程之前,我们先来简单看一看浏览器的架构。这里我主要介绍 Chrome 的架构,毕竟它目前全球占有率第一。现代浏览器采用的多进程架构,避免单进程导致的不稳定、不流畅、不安全的问题。当我们打开浏览器时,浏览器至少会开启 4 个进程。其中浏览器主进程、网络进程、GPU 进程是所有原创 2020-12-15 01:00:15 · 662 阅读 · 1 评论 -
Web 性能优化之传输层
Web 性能优化是一个老生常谈的问题,以前看了很多零碎的知识,所以一直想找个机会好好总结一下。Web 性能优化涉及的面很广,这里我从前端的视角讲一讲优化点,主要分为传输层和渲染层。这篇文章,我讲述的是传输层。渲染层的优化会另外写一篇进行讲解。输入网址到页面呈现,中间发生了什么“输入网址到页面呈现,中间发生了什么”这个是很多面试官喜欢问的一个问题。为什么喜欢问呢?因为这个问题覆盖了很多计算机网络的问题,如果你答得好,那么可以表明你的计算机网络基础还不错。很多性能问题就发生在这个过程中,如果你想很好原创 2020-12-07 20:55:39 · 512 阅读 · 1 评论 -
WebApp 首屏优化
背景在进行webapp开发时,如果使用vue或者react类似的框架,并且采用的单页应用的模式,那首屏加载肯定会遇到白屏时间过长的问题。如果我们只是自己写个demo,那么等待一会没有任何关系。但是如果是一个商业应用,那你可能会因此流失一批客户。一般来说如果3秒钟,网页没有打开,20%的新用户会直接离开。剩下的会进行刷新操作,如果还是没有打开,60%的新用户会离开。其实这个时候你的应用曝光的机...原创 2020-04-30 22:35:32 · 428 阅读 · 0 评论 -
性能优化之 CDN
CDN 简介CDN 全称是 Content Delivery Network,内容分发网络。尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输更快、更稳定。CDN 原理在网络各处放置节点服务器,构成在现有的互联网基础之上的一层智能虚拟网络。CDN 系统能实时的根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的节点上...原创 2018-11-17 21:05:23 · 2462 阅读 · 0 评论 -
性能优化之浏览器缓存
谈到前端性能优化,就不得不提浏览器缓存,它是很重要也很常见的一种方式。但是很多同学仅有缓存的意识,对缓存并没有一个比较清晰的认识。浏览器缓存分类HTTP 状态码 200 from memory cache 说明:直接从本地缓存中获取响应特点:最快速、最省流量,因为根本没有向服务器发送请求HTTP 状态码 304 not modified 说明:协商缓存,浏览器在本地没有命中的...原创 2018-07-20 23:33:01 · 339 阅读 · 0 评论 -
Web 防盗链
什么是防盗链防止别人盗用自己服务器资源,如图片、音乐以及视频。一般是小站盗用大站。防盗链工作原理通过referer或者签名,服务器可以检测请求的来源网页,如果是资源文件,则可以跟踪到显示它的网页地址。一旦检测到来源不是本站,则进行阻止。怎么防盗链referer方式Nginx 模块 ngx_http_referer_module 用于阻挡来源非法的域名请求,Ngi...原创 2018-04-09 23:27:53 · 1594 阅读 · 0 评论 -
SQL 注入攻防入门
简介所谓 SQL 注入,就是通过把 SQL 命令插入到Web表单提交或页面请求的查询字符串,最终达到欺骗服务器执行恶意的 SQL 命令。原理用户的输入被当成了程序的一部分。 本来希望用户输入 password 为1,但是用户却输入了1 or 1=1。这样,导致错误的密码也可以查询出结果。SQL 注入的产生原因:不当的类型处理不安全的数据库配置不合理的查询集处理...原创 2018-02-04 22:51:36 · 283 阅读 · 0 评论 -
Web 传输安全
一个 web 请求从浏览器到 web 服务器的过程中,会经过许多的网络节点。每一个网络节点都有能力窃听和篡改 http 请求的内容,所以通过 http 进行的传输是不安全的。危害Http 窃听的危害:窃听用户密码窃听传输的敏感信息非法获取个人资料Http 篡改的危害:插入广告(著名的运营商劫持问题)重定向网站:将目标网站重定向到广告网站或其他危险网站无原创 2018-01-14 17:20:13 · 3635 阅读 · 0 评论 -
点击劫持攻防入门
简介点击劫持(click jacking)也被称为 UI 覆盖攻击。它通过不可见框架底部的内容误导受害者点击,虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。原理这种攻击利用了HTML中标签的透明属性。在 HTML 中,我们可以在 iframe 里面嵌套另一个网页。通过设置 iframe 的透明度,可以使 iframe 不可见,同原创 2018-01-11 22:18:48 · 4617 阅读 · 0 评论 -
浅谈 XSS 与 CSRF 攻防
简介XSS(Cross-site scripting)跨站脚本攻击,为了不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。原理用户的输入内容被当作程序在网页执行。危害偷取用户的密码和登录态破坏页面结构重定向到其它网站XSS攻击分类反射型(Reflected) url参数直接注入原创 2018-01-06 17:27:37 · 788 阅读 · 0 评论