同源策略

1. 浏览器的安全机制，要求端口，域名，协议一致
2. 作用在于保护用户数据安全，防止恶意网站获取用户信息，阻止CSRF,XSS攻击

具体限制

1. ajax请求:不同源请求会被阻止
2. DOM访问: iframe,window.open等创建的新的窗口只能访问同源的页面，不同源的DOM不允许直接修改
3. Cookie，LocalStorage,IndexDB:这些存储机制也遵循同源策略，不同源无法互相访问
4. service Workers:必须与注册页同源

绕过同源策略的手段

1. CORS：允许服务器设置特定的HTTP头来指示浏览器允许哪些来源的请求 Access-Control-Allow-Origin,
2. JSONP：早期的跨域解决方案，通过script标签执行远程脚本并利用毁掉函数处理返回的数据，但是只能用于GET
3. WebSocket
4. PostMessage: 允许不同窗口间安全通信，通过window.postMessage()发送信息，在接收端通过message事件坚挺
5. 服务端代理: 在服务端设置代理，将跨域请求转发个目标服务器，将结果返回给客户端

CSRF

恶意网站伪造用户请求来执行用户在另一个网站上的操作

XSS

攻击者注入恶意脚本，导致用户信息泄露或账户劫持。

Node端

在Express 中使用cors 插件 设置 origin

Nginx

HTTP中的options预请求

当涉及到跨域请求的时候，浏览器就会在某些情况下自动发送一个OPTIONS请求，主要是为了确保跨域请求对服务器不会产生意外的副作用，它会在实际请求之前，询问目标服务器是否允许这样的请求，并检查请求方法和头部是否被接受，预检请求主要用于“非简单请求”。不是所有的跨域请求都会触发预检请求，是否触发还取决于是否是简单请求，简单请求不会触发，非简单请求会触发

执行流程

1. 浏览器发送OPTIONS请求,获取服务器的CORS配置信息，此请求包含一些关键header,例如Access-Control-Request-Method, Access-Control-Request-Headers
2. 服务器接收到预请求后，根据其牌纸返回相应的CORS请求以及跨域请求相关的信息
3. 浏览器处理响应：浏览器根据返回的响应决定是否继续发送实际请求。

性能优化

1. 设置缓存预检请求，Access-Control-Max-Age,减少预检请求的频率
2. 尽量使用简单请求：（GET,HEAT , POST ，使用标准头部字段，Accept,Accept-Language , Content-Type但是值必须是text/plain,application/x-www-form-urlencoded,multipart/form-data）
3. 减少自定义头部

总结

OPTIONS预检请求是CORS机制中的一个关键部分，帮助确保跨域的安全性。

Keep-Alive

Keep-Alive: 可以在同一个TCP连接上进行多个请求个响应，从而减少连接建立和关闭的开销，提高性能。需要根据业务需求和服务器负载情况来调整配置，避免潜在的资源枯竭问题。

Connection: keep-alive
Keep-Alive: timeout=5, max=100 
// timeout=5：表示连接在空闲 5 秒钟后会被关闭。
// max=100：表示最多可以在该连接上发送 100 个请求。

1. 在HTTP1.0迷人情况下是不支持的，需要明确设置Connection: keep-alive 头部启动
2. HTTP1.1是默认支持的，

GET方法中URL长度限制的原因

1. 浏览器限制：浏览器是直接处理用户输入和展示页面的工具，需要在性能和兼容之间权衡。
   1. 早期浏览器设定URL长度限制大约2083个字符，为了向后兼容
   2. 处理过长的URL会占用大量内存，导致渲染效率降低
   3. 防止潜在攻击，例如URL中包含大量无效数据，会导致浏览器崩溃或者缓冲区溢出
2. Web服务器限制
3. 中间设备限制
   1. 客户端和服务器之间的数据传输可能会经过多个网络设备，例如代理服务器，防火墙，负载均衡等，这些设备会对URL长度进行限制
4. 安全性考虑
   1. 超长的URL可能被用于各种攻击，例如缓冲区溢出或拒绝服务器攻击等

总结

为保证兼容性，安全性，还有性能通常URL长度控制在2000个字符以内。如果传输大量数据，使用POST

URL组成

1. 定义：网络中的唯一资源地址，是浏览器用于检索已发布资源的关键机制之一
   组成：
2. scheme(协议) HTTPS/ HTTP
   host(域名)
   port
   pathname
   parameter(查询字符串)
   anchor(锚点) 是网页内部的定位点.比如：#anchor。浏览器加载页面以后，会自动滚动到锚点所在的位置，锚点名称通过网页元素的id属性命名。

HTTPS

是一种用于安全通信的协议，在HTTP的基础上增加了SSL/TLS,确保了数据的机密性，完整性和身份验证

工作原理

1. 客户端发起HTTPS请求
2. 服务端响应并发送证书
   1. 证书包含：服务器的公钥，CA证书，证书的有效期，持有者
3. 客户端验证证书
   1. 证书链
   2. 证书有效期
   3. 证书撤销状态
4. 协商会话密钥（TLS握手）
   1. 密钥交换
   2. 完成握手
5. 加密通信
   1. 对称加密
   2. MAC(消息认证码)
6. 会话复用与优化