前端面试题(基础篇七)

一、谈谈你对webpack的看法

webpack是一个模块打包工具,我们可以使用webpack管理我们的模块依赖,编译输出模块所需的静态文件。它可以很好的管理、打包web开发中所需的html、css、JavaScript以及其他各种静态文件(使用的图片、字体图标等),让开发变得更加高效。对于不同类型的资源,webpack都有对应的模块加载器,webpack 模块打包器会分析模块间的 依赖关系,最后 ⽣成优化且合并后的静态资源

二、常⻅web安全及防护原理

sql注入原理

通过把sql命令插入到表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的sql命令

应该注意以下几点

永远不要信任⽤户的输⼊,要对⽤户的输⼊进⾏校验,可以通过正则表达式,或限制⻓

度,对单引号和双 "-" 进⾏转换等

永远不要动态拼装SQL,可以使⽤参数化的 SQL 或者直接使⽤存储过程进⾏数据查 询存取

永远不要使⽤管理员权限的数据库连接,为每个应⽤使⽤单独的权限有限的数据库连接

不要把机密信息明⽂存放,请加密或者 hash 掉密码和敏感的信息

XSS原理及防范

Xss(cross-site scripting) 攻击指的是攻击者往 Web ⻚⾯⾥插⼊恶意 html 标签或

者 javascript 代码。⽐如:攻击者在论坛中放⼀个看似安全的链接,骗取⽤户点击后,

XSS防范⽅法

⾸先代码⾥对⽤户输⼊的地⽅和变量都需要仔细检查⻓度和对 "<",">",";","'" 等字符
做过滤;其次任何内容写到⻚⾯之前都必须加以encode,避免不⼩⼼把 html tag 弄出
来。这⼀个层⾯做好,⾄少可以堵住超过⼀半的XSS 攻击

XSS与CSRF有什么区别吗?

XSS 是获取信息,不需要提前知道其他⽤户⻚⾯的代码和数据包。 CSRF 是代替⽤户完成 指定的动作,需要知道其他⽤户⻚⾯的代码和数据包。要完成⼀次 CSRF 攻击,受害者必 须依次完成两个步骤

在不登出 A 的情况下,访问危险⽹站 B

CSRF的防御

服务端的 CSRF ⽅式⽅法很多样,但总的思想都是⼀致的,就是在客户端⻚⾯增加伪随机 数

通过验证码的⽅法

三、为什么要有同源限制?

同源策略指的是:协议,域名,端⼝相同,同源策略是⼀种安全协议

举例说明:⽐如⼀个⿊客程序,他利⽤ Iframe 把真正的银⾏登录⻚⾯嵌到他的⻚⾯上, 当你使⽤真实的⽤户名,密码登录时,他的⻚⾯就可以通过 Javascript 读取到你的表单 中 input 中的内容,这样⽤户名,密码就轻松到⼿了。

四、关于Node

特点:

1、它是⼀个 Javascript 运⾏环境

2、依赖于 Chrome V8 引擎进⾏代码解释

3、事件驱动

4、⾮阻塞 I/O

5、单进程,单线程

优点:

⾼并发(最重要的优点)

缺点:

1、只⽀持单核 CPU ,不能充分利⽤ CPU

2、可靠性低,⼀旦代码某个环节崩溃,整个系统都崩溃

五、web开发中会话跟踪的⽅法有哪些

1.cookie

2.session

3.url重写

4.隐藏input(设置type为hidden)

相关推荐
不想说话的麋鹿5 分钟前
《NestJS 实战:RBAC 系统管理模块开发 (二)》:菜单与权限路由设计
前端·node.js·全栈
前端流一6 分钟前
Babel的JSX转化插件--详解
前端
SynthWriter7 分钟前
从固定到弹性:实战Vue组件多分辨率适配全解析
前端·css
sunbyte10 分钟前
50天50个小项目 (Vue3 + Tailwindcss V4) ✨ | EventKey Codes(键盘码)
前端·javascript·css·vue.js·vue
Avan_菜菜11 分钟前
Nuxt3 中使用 pnpm 安装的 NuxtImg 使用会提示找不到图片
前端·npm·nuxt.js
蟑螂学前端12 分钟前
vue3结合拖拽组件draggable-next与element-plus实现组件拖拽效果
前端
snakeshe101013 分钟前
重构迷你React:引入wipRoot与协调子节点优化
前端
恋猫de小郭15 分钟前
iOS 26 beta1 重新禁止 JIT 执行,Flutter 下的 iOS 真机 hot load 暂时无法使用
android·前端·flutter
前端Hardy41 分钟前
实测!Three.js 实现动态粒子螺旋与星环环绕动画
前端·javascript
俊劫43 分钟前
响应式图片实战指南:深入理解与应用 img srcSet
前端·css·vue.js