前端面试基础知识整理【Day-5】

目录

前言

web安全篇

1.如何防范XSS攻击

2.如何防范CSRF攻击

代码手写篇

1.函数柯里化

2.手写带并发限制的调度器


前言

前端面试基础知识整理【Day-1】-CSDN博客

前端面试基础知识整理【Day-2】-CSDN博客

前端面试基础知识整理【Day-3】-CSDN博客

前端面试基础知识整理【Day-4】-CSDN博客

web安全篇

1.如何防范XSS攻击

XSS攻击原理:

  • 攻击者在网页中插入恶意的<script>代码,当用户浏览器时,脚本将用户的Cookie/Token发给攻击者

XXS一般有两种类型:

  1. 存储型:恶意脚本存到数据库中(评论区),所有看评论的人都会被攻击
  2. URL型:脚本嵌入在URL参数里,只有点击了链接的人才会被攻击

防御措施:

  1. 转义(前端做) :把"< "变成"&lt ",把"> "变成"&gt"
  2. CSP策略(后端做):在HTTP Header中设置白名单,只允许加载那个域名的JS,其它域名的JS不执行
  3. HttpOnly Cookie(后端做):禁止JS读取Cookie

2.如何防范CSRF攻击

CSRF攻击原理:

  • 用户登录了A网站(浏览器存储了A网站的Cookie),攻击者诱导用户点击B网站(钓鱼网站),B网站偷偷向A网站发送一个请求,此时这个请求会带上A网站的Cookie,那么攻击者就会获取到A网站的Cookie

防御措施:

  1. SameSIte Cookie:设置SameSite=true或Lax(Chrom浏览器默认开启Lax)
  2. CSRF Token:登陆后服务器发给前端一个Token,前端每次发送POST请求都要在Header里带上这个Token,攻击者拿不到这个Token,伪造的请求就会失败
  3. 验证Referer/Origin:后端检查请求是从哪里发出来的

代码手写篇

1.函数柯里化

柯里化就像是bind()返回一个函数,这个函数会检查此时传入的参数,如果传入的参数不够则返回带有已传参数的函数,否则执行函数

javascript 复制代码
function curry(fn) {
  return function curried(...args) {
    if(args.length >= fn.length) {
      return fn.apply(this, args);
    }
    else {
      return function (...args2) {
        return curried.apply(this, [...args, ...args2]);
      }
    }
  }
}

function sum(a, b, c) {
  return a + b + c;
}

const curriedSum = curry(sum);

console.log("标准柯里化调用形式(1个1个的调用):",curriedSum(1)(2)(3)); 

console.log("一次调用多个参数的柯里化形式:",curriedSum(1, 2)(3)); 
console.log("一次调用多个参数的柯里化形式:",curriedSum(1)(2, 3)); 

console.log("一次调用所有参数的柯里化形式:",curriedSum(1, 2, 3)); 

结果:

2.手写带并发限制的调度器

场景:

有 100 个请求,但我只允许同时发送 2 个。发完一个,立马补进来一个。保持"池子"里始终有 2 个在跑

javascript 复制代码
class Scheduler {
  constructor(limit) {
    this.limit = limit;
    this.count = 0;
    this.queue = [];
  }
  add(promiseCreator) {
    return new Promise((resolve, reject) => {
      this.queue.push({
        creator: promiseCreator,
        resolve,
        reject
      });
      this.run();
    })
  }
  run() {
    if (this.queue.length === 0 || this.count >= this.limit) {
      return;
    }
    const { creator, resolve, reject } = this.queue.shift();
    this.count++;
    creator()
      .then(res => {
        resolve(res);
      })
      .catch(err => {
        reject(err);
      })
      .finally(() => {
        this.count--;
        this.run();
      })
  }
}

const timeout = (time) => new Promise(resolve => {
  setTimeout(resolve, time);
});

const scheduler = new Scheduler(2); 

const addTask = (time, order) => {
  scheduler.add(() => timeout(time))
    .then(() => console.log(`任务 ${order} 完成`));
};

addTask(1000, '1');
addTask(500, '2');
addTask(300, '3');
addTask(400, '4');

结果:

相关推荐
TheITSea1 分钟前
4、React+Tailwind CSS
前端·css·react.js
weedsfly9 分钟前
前端开发中的代理模式——从 Vue 3 响应式到日常开发
前端·javascript·面试
咖啡八杯21 分钟前
GoF设计模式——状态模式
java·面试·架构
এ慕ོ冬℘゜29 分钟前
深入理解 JavaScript 事件对象:从 target 到 preventDefault 的实战指南
开发语言·前端·javascript
Listen·Rain39 分钟前
Vue概述
前端·javascript·vue.js
尘世中一位迷途小书童41 分钟前
Cesium 涟漪扩散点:自定义材质,参数调对了才好看
前端·面试
ttwuai1 小时前
Go 后台富文本图片上传失败排查:前端限制、接口和存储目录要一起看
前端·golang·状态模式
小雪_Snow1 小时前
JS 数组的遍历 —— 两种方式详解
前端·javascript
禅思院1 小时前
AI对话前端从入门到崩溃:一个长对话引发的五层优化战争【五】
前端·架构·前端框架
zzz_23681 小时前
【Java实习面试算法冲刺】图论
java·算法·面试