lewenweijia
commented
4 years ago - 实现模型: 多进程
- 渲染管道: JavaScript -> Layout -> Paint -> Composite
- 同源政策: SOP, 为啥要限制同源? 限制范围(cookie, ajax请求) 不限制范围(html内嵌跨源资源标签img, iframe, script脚本, style样式, form提交表单标签/操作) <-- 减缓操作: JSONP <- 利用HTML支持内嵌/脚本追加外部资源请求tag(script), query中注入指定cb, JSONP支持后端将动态生成js执行脚本, 显式将cb调用以及cb调用式所需数据注入, 实现服务器调用客户端js函数的效果和操作, 也实现后端向客户端脚本函数实现数据注入和 CORS?: 作用范围?: <-- 仅限制脚本; 简单请求和复杂请求, 为啥要区分? 预检请求过程和形态(所使用的http request method)
- 安全问题: xss, csrf? 点击拦截clickjacking 减缓预防操作: xss -> csp/白名单/输入的过滤和转移防止脚本注入(非黑名单<-黑名单维护困难/不方便规范实现的升级迭代) csrf: <-- unguessable token(node.js相关库 csrf/csurf)