2018-04-17 性能上报与安全 上课摘要

4月1号的时候因为出去玩了,没时间上课,好像忘记请假也旷课了。

然后看完这节课的复播,表示挺兴奋的,就立马来写周记了。

一开始主要是讲了上报的知识点:
上报分两种,打点上报和性能上报。

性能上报

1.打点上报就是用Date类统计时间。

let start = +new Date();
let end = +new Date();
console.log(start - end);

2.性能上报是用performance的api:
以下内容大部分摘抄自这位大佬的 html5的学习--performance
以下代码块有任何不懂的api均可翻上边的link

let timing = performance.timing;
// 这里可以找到很多加载的信息
console.log(timing);
// 准备新页面时间耗时:
let readyStart = timing.fetchStart - timing.navigationStart;
// redirect 重定向耗时:
let redirectTime = timing.redirectEnd - timing.redirectStart;
// Appcache 耗时:
let appcacheTime = timing.domainLookupStart - timing.fetchStart;
// unload 前文档耗时:
let unloadEventTime = timing.unloadEventEnd - timing.unloadEventStart;
// DNS 查询耗时:
let lookupDomainTime = timing.domainLookupEnd - timing.domainLookupStart;
// TCP连接耗时:
let connectTime = timing.connectEnd - timing.connectStart;
// request请求耗时:
let requestTime = timing.responseEnd - timing.requestStart;
// 请求完毕至DOM加载
let initDomTreeTime = timing.domInteractive - timing.responseEnd;
// 解释DOM树耗时:
let domReadyTime = timing.domComplete - timing.domInteractive;
// load事件耗时:
let loadEventTime = timing.loadEventEnd - timing.loadEventStart;
// 从开始至load总耗时
let loadTime = timing.loadEventEnd - timing.navigationStart;

代码加注释看起来有点模糊,所以顺手做了一个表格对照,正好以后做性能优化时可以照着这个表格参考。

code 解释
readyStart 准备新页面耗时
redirectTime 重定向耗时
appcacheTime Appcache耗时
unloadEventTime unload前文档耗时
lookupDomainTime DNS查询耗时
connectTime TCP连接耗时
requestTime request请求耗时
initDomTreeTime 请求完毕至DOM加载耗时
domReadyTime 解释dom树耗时
loadEventTime load事件耗时
loadTime 从开始至load总耗时

异常上报

BadjsRavenjs,目前工作暂时用不上,而且还没正式使用node,待研究。


安全

CSP

CSP: Content Security Policy,内容安全策略。

主要用来解决浏览器扩展程序潜在的跨站脚本问题。如果后台配置了,则在浏览器的response Header中可见:Content-Security-Policy

CSP 策略会以白名单的机制对网站加载执行的资源起作用。从而保证客户端内容的可信。

由后台配置认可的域名,只有 配置过的域名 提供的内容才可以被加载,这么做不能保证整个请求的安全性,但至少可以保证客户端内容是可靠的。

例:如果浏览器插件要修改一些内容,假设内容是其他域名并且不在白名单域名中的,则会被浏览器自动忽略掉。

以上只是粗略的记录个人的理解,想要更详细的内容可以看这位大佬的讲解:前端防御从入门到弃坑--CSP变迁

XSS

XSS: Cross Site Scripting,跨站脚本攻击,为了不与 Cascading Style Sheets 的缩写 “CSS” 重叠,故将其的名字改成 “XSS”。虽然老掉牙的概念,但我这里还是习惯性记录一下吧哈哈哈哈哈。

因为本身对XSS没什么概念。。所以下面的内容会写的比较烂,知乎大佬解释这两种区别会解释的比较通俗:知乎Snake用户形容的存储型与反射型XSS。

XSS 分两种类型:

1、存储型:输入--进入数据库--取出数据库--输出。

1.1、抽象解释:输入在A处进入数据库,而输出则可能出现在其他任何用到数据的地方。

1.2、常见方式:输入大部分来自来自POST/GET请求,常见于一些保存操作中。

1.3、通俗解释:也就是持久性XSS攻击,将攻击村居存进数据库,攻击行为就伴随着攻击数据一直存在。

1.4、常见解决方式:使用encodeURIComponent的api过滤。

2、反射型:输入--输出。

2.1、抽象解释:输入在哪里,输出在哪里。

2.2、常见方式:输入大部分来自DOM的某些属性,也会偶尔有数据在请求中(POST请求)。

2.3、通俗解释:直接在页面上插入script标签代码,调用恶意js。

2.4、常见解决方式:将 innerHTML 插入内容改成 innerText 的api。设置 X-XSS-Protection: 1; mode=block

CSRF

CSRF: 跨站请求伪造,Cross-site request forgery。

例:网站投票,如果是通过url形式带参数(get请求)来向后台提示已投票时,可以将链接嵌入到其他站点让其他用户误操作,刷投票数。

解决方案:
1、在接收参数加一个加密cookie,也就是token。
2、只接收post请求。
3、分多步处理,也就是多次页面跳转。
4、页面重定向,就是完事了别在这里逗留,赶紧到下一个页面玩儿去。
5、设置 X-Frame-Options: deny;。不允许使用iframe嵌入此页面,例如github禁止了,其中一个点就是防止刷star之类的CSRF。

clickjacking

clickjacking: 点击劫持。

常见:绝大部分你懂的网站。。不过那些应该是刻意劫持,各种伟哥广告需要嘛。

而我们不需要,还是设置 X-Frame-Options: deny;


完。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,080评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,422评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,630评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,554评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,662评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,856评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,014评论 3 408
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,752评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,212评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,541评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,687评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,347评论 4 331
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,973评论 3 315
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,777评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,006评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,406评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,576评论 2 349

推荐阅读更多精彩内容