前端校招面试题目合集练习-12

题目来自于牛客网题库-前端校招面试题目合集。 该题库共501题 学习目标：题库501道题目学习一遍。

学习目标：

学习进度：120/501

学习内容：

1. 地址栏输入一个URL，到这个网页呈现出来，中间发生了什么？ 1.首先在浏览器地址栏中输入url 2.浏览器先查看浏览器缓存-系统缓存-路由器缓存，如果缓存中 有，直接显示页面内容；如果没有，跳到第三步； 3.域名解析，获取相应的IP地址 4.浏览器向服务器发送tcp连接，与浏览器建立三次握手 5.握手成功后，建立http请求 6.服务器收到请求，将数据返回至浏览器 7.浏览器收到http响应 8.读取页面内容，浏览器渲染，解析html源码
2. http2.0的特性有哪些？ 内容简单，基于https，安全性好，使用多路复用，HPACK头压缩，使用二进制，流和流的优先级。
3. cache-control的值有哪些？ cache-control是一个通用消息头字段，被常用于HTTP请求和响应中，通过特定指令来实现缓存机制，这个缓存指令是单向的，常见取值有:private,no-cache,max-age, must-revalidate等。默认为private。
4. 浏览器在生成页面时，会生成哪两棵数？ DOM树和CSSOM规则树。
5. csrf和xss的网络攻击及防范。 CSRF：跨站请求伪造，可以理解为攻击者盗用了用户的身份，以用户的名义发送了恶意请求，比如用户登录了一个网站后，立刻在另一个ｔａｂ页面访问量攻击者用来制造攻击的网站，这个网站要求访问刚刚登陆的网站，并发送了一个恶意请求，这时候CSRF就产生了，比如这个制造攻击的网站使用一张图片，但是这种图片的链接却是可以修改数据库的，这时候攻击者就可以以用户的名义操作这个数据库，防御方式的话：使用验证码，检查https头部的refer，使用token XSS：跨站脚本攻击，是说攻击者通过注入恶意的脚本，在用户浏览网页的时候进行攻击，比如获取cookie，或者其他用户身份信息，可以分为存储型和反射型，存储型是攻击者输入一些数据并且存储到了数据库中，其他浏览者看到的时候进行攻击，反射型的话不存储在数据库中，往往表现为将攻击代码放在url地址的请求参数中，防御的话为cookie设置httpOnly属性，对用户的输入进行检查，进行特殊字符过滤
6. 怎么看网站的性能？ 一种是被动去测：就是在被检测的页面置入脚本或探针，当用户访问网页时，探针自动采集数据并传回数据库进行分析。 另一种主动监测的方式，即主动的搭建分布式受控环境，模拟用户发起页面访问请求，主动采集性能数据并分析，在检测的精准度上，专业的第三方工具效果更佳。
7. 重复已折叠。

学习时间：

2021/1/19 19:10-19:30 花费时间：20min

寄语：

又是努力学习的一天,加油!