前端安全性问题

1、xss跨站脚本攻击

主要原因：服务器端太相信客户端体检的数据

解决方法：

一般的组件现在都可以防范

比如vue可以设置v-html直接让他过滤掉html文本

设置HEAD

ctx.set('X-XSS-Protection', 0) // 禁用XSS过滤

手动设置黑白名单

比如说通过字符串去过滤接收到的字符串内容

httpOnly Cookie

这是预防XSS攻击窃取用户cookie最有效的防御⼿段。Web应用程序在设置cookie时，将其属性设为HttpOnly，就可以避免该用户的cookie被客户端恶意JavaScript窃取，保护用户cookie信息。(一般情况下默认开启的)

2、CSRF跨站请求伪造（如何伪造法？怎么防御？等等都要说清楚）

同源检测

在 HTTP 协议中，每一个异步请求都会携带两个 Header ，用于标记来源域名。

验证码

验证码的种类有很多，比如图形验证码，基于人机之间知识差异的验证码，行为式验证码。

3、sql脚本注入（注入方式，防御方式）

注入形式形成注入语句攻击原理及效果

’（单引号）String query = "SELECT * FROM accounts WHERE custID='‘'custID等于三个单引号,这种形式sql解析器解析时会报错，如果前端页面也报错一是说明该参数会带入sql解析器二是说明sql语句没做过滤

’and ‘1’=‘1

'and '1'='2

String query = "SELECT * FROM accounts WHERE custID='‘and '1'='1'

String query = "SELECT * FROM accounts WHERE custID='‘and '1'='2'

这两条一起使用，由于’1‘=’1‘恒为真所以应该有结果’1‘=’2‘恒为假所以应该没有结果，总之就是如果这两者能导致页面显示有区别，那也可以说明该参数带入sql解析器且没做过滤。

'or '1'='1 String query = "SELECT * FROM accounts WHERE custID=''or '1'='1';'or '1'='1页面正常返回可能是注入成功了也可能是做了过滤所以这种形式一般不能做为是否存在注入的检测方法；'or '1'='1作用是取回表中所有结果，最常见的是用于绕过登录

设置字符限制对特殊字符进行过滤

re= /select|update|delete|exec|count|'|"|=|;|>|<|%/i;

4、上传漏洞 （防御方式）

（1）使用FireBug：

找到html源代码里面的Form表单，将onsubmit事件删除，JavaScript上传验证将会失效。

    （2）中间人攻击：

使用Burb Suite则是按照正常的流程通过JavaScript验证，然后在传输中的HTTP层做手脚。（在上传时使用Burb Suite拦截上传数据，修改文件扩展名，就可以绕过客户端验证）。

vue相关

1、vue-router如何做历史返回提示？

第一种、使用全局函数beforeEach，直接来获取form.path(即为对应的上一次地址的路由path内容)；

beforeEach(to, from, next) {

path = from.path //path为定义的变量，不是vue的data定义的变量，当前生命周期data还未初始化

next()

}

第二种、使用组内共享函数beforeEnter，直接来获取form.path(即为对应的上一次地址的路由path内容)；

beforeEnter(to, from, next) {

path = from.path //path为定义的变量，不是vue的data定义的变量，当前生命周期data还未初始化

next()

}

第三种、使用组件内函数，beforeRouteEnter，，直接来获取form.path(即为对应的上一次地址的路由path内容)；

beforeRouteEnter(to, from, next) {

path = from.path //path为定义的变量，不是vue的data定义的变量，当前生命周期data还未初始化

next()

}

2、vue-router如何做用户登录权限等？

用vue-router来控制用户登录权限的原理，实际上就是应用了vue-router提供的router.beforeEach来注册一个全局钩子。

3、vue生命周期

beforeCreate（创建之前）

created（创建完毕）

beforeMount（挂载之前）

mounted（挂载结束）

beforeUpdate（更新之前）

updated（更新结束）

beforeDestroy（销毁之前）

destroyed（销毁结束）

4、vue组件通信

方法一、props/$emit

父组件通过props向下传递数据给子组件

子组件通过events给父组件发送消息

方法二、$parent / $children与 ref

ref：如果在普通的 DOM 元素上使用，引用指向的就是 DOM 元素；如果用在子组件上，引用就指向组件实例

$parent/$children：访问父 / 子实例

方法三、vuex

 Vuex实现了一个单向数据流，在全局拥有一个State存放数据，当组件要更改State中的数据时，必须通过Mutation进行，Mutation同时提供了订阅者模式供外部插件调用获取State数据的更新。

5、Vue 如何去除url中的 #

vue-router默认使用hash 模式，所以在路由加载的时候，项目中的 url 会自带 #。如果不想使用 #， 可以使用vue-router的另一种模式 history

6、vue性能优化

1.对项目代码中的JS/CSS/SVG(*.ico)文件进行gzip压缩

2.对路由组件进行懒加载

3.源码优化

v-if 和 v-show选择调用,如无需频繁切换最好用v-if

给item设置唯一key值，方便vuejs内部机制精准找到该条列表数据。

细分vuejs组件

减少watch的数据

内容类系统的图片资源按需加载(v-lazy,scroll)

es6相关

1.ES6常用语法总结

1.let

ES6新增了let命令，用来生命变量。它的用法类似于var,但是所声明的变量，只在let命令所在的代码块内有效。

2.const

const声明一个只读的常量，一旦声明，常量的值就不能改变。

3.箭头函数

ES6 允许使用“箭头”（=>）定义函数。

4.rest参数

ES6 引入 rest 参数（形式为...变量名），用于获取函数的多余参数，这样就不需要使用arguments对象了。rest 参数搭配的变量是一个数组，该变量将多余的参数放入数组中。

4.ES6中有很多方法就不一一举例。

javascript常见题目

this指向问题

this表示当前对象，如果在全局作用范围内使用this，则指代当前页面对象window；如果在函数中使用this，则this指代什么是根据运行时此函数在什么对象上被调用。我们还可以使用apply和call两个全局方法来改变函数中this的具体指向。

prototype

prototype本质上还是一个JavaScript对象。

并且每个函数都有一个默认的prototype属性。如果这个函数被用在创建自定义对象的场景中，我们称这个函数为构造函数。比如下面一个简单的场景：

constructor

constructor始终指向创建当前对象的构造函数。

javascript闭包的理解

闭包有两个主要用途，一是实现嵌套的回调函数，二是隐藏对象的细节。

全局变量、局部变量（函数内）：js中函数内部可以读取全局变量，函数外部不能读取函数内部的局部变量。（闭包的作用域区别）；

使用闭包进行私有属性的定义；

最近碰到问js如何实现数据双向绑定

为了实现这个功能我们需要用到js的一个方法Object.defineProperty

三个参数：

第一个：要定义属性的对象，

第二个：要定义或者修改的属性的名称

第三个：将被定义或者修改的属性的描述

<p id="showText"></p>

前端常见题目

一、如何处理跨域？

跨域大家都知道，不同地址，不同端口，不同级别，不同协议都会构成跨域。

jsonp

jsonp跨域也需要前后端配合使用。vue中使用jsonp需引入vue-jsonp；

CORS跨域资源共享

使用CORS，开发者可以使用普通的XMLHttpRequest发起请求和获得数据，比起JSONP有更好的错误处理。

二、一些状态码你了解吗？

 200成功类、300重定向类、400客户端类、500服务器端类。

三、写出最简单的去重方式

es6的new Set()方式

四、写出最简单的去重方式

 对 MVC、MVVM的理解

MVC

特点：

View传送指令到Controller

Controller完成业务逻辑后，要求Model改变状态

Model将新的数据发送到View，用户得到反馈

MVVM

前后端分离：Model用纯JavaScript对象表示，View负责显示。

model：服务器的业务逻辑操作

view：用户界面

ViewModel：核心枢纽