跨域问题怎么处理

1. 通过jsonp跨域
2. document.domain + iframe跨域
3. location.hash + iframe
4. window.name + iframe跨域
5. postMessage跨域
6. 跨域资源共享（CORS）
7. nginx代理跨域
8. nodejs中间件代理跨域
9. WebSocket协议跨域

前端常见跨域解决方案（全） - SegmentFault 思否 (opens new window)

JWT和cookie的区别

简单聊一聊Cookie、Session、Token、JWT的区别和作用 - SegmentFault 思否 (opens new window)

node.js相关

webpack

什么是webpack？

本质上,webpack 是一个现代 JavaScript 应用程序的静态模块打包器(module bundler)。当 webpack 处理应用程序时,它会递归地构建一个依赖关系图(dependency graph),其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个 bundle。

webpack 就像一条生产线,要经过一系列处理流程后才能将源文件转换成输出结果。 这条生产线上的每个处理流程的职责都是单一的,多个流程之间有存在依赖关系,只有完成当前处理后才能交给下一个流程去处理。 插件就像是一个插入到生产线中的一个功能,在特定的时机对生产线上的资源做处理。 webpack 通过 Tapable 来组织这条复杂的生产线。 webpack 在运行过程中会广播事件,插件只需要监听它所关心的事件,就能加入到这条生产线中,去改变生产线的运作。 webpack 的事件流机制保证了插件的有序性,使得整个系统扩展性很好。 -- 深入浅出 webpack 吴浩麟

一些核心概念

Entry

入口起点(entry point)指示 webpack 应该使用哪个模块,来作为构建其内部依赖图的开始。

进入入口起点后,webpack 会找出有哪些模块和库是入口起点（直接和间接）依赖的。

每个依赖项随即被处理,最后输出到称之为 bundles 的文件中。

Output

output 属性告诉 webpack 在哪里输出它所创建的 bundles,以及如何命名这些文件,默认值为 ./dist。

基本上,整个应用程序结构,都会被编译到你指定的输出路径的文件夹中。

Module

模块,在 Webpack 里一切皆模块,一个模块对应着一个文件。Webpack 会从配置的 Entry 开始递归找出所有依赖的模块。

Chunk

代码块,一个 Chunk 由多个模块组合而成,用于代码合并与分割。

Loader

loader 让 webpack 能够去处理那些非 JavaScript 文件（webpack 自身只理解 JavaScript）。

loader 可以将所有类型的文件转换为 webpack 能够处理的有效模块,然后你就可以利用 webpack 的打包能力,对它们进行处理。

本质上,webpack loader 将所有类型的文件,转换为应用程序的依赖图（和最终的 bundle）可以直接引用的模块。

Plugin

loader 被用于转换某些类型的模块,而插件则可以用于执行范围更广的任务。

插件的范围包括,从打包优化和压缩,一直到重新定义环境中的变量。插件接口功能极其强大,可以用来处理各种各样的任务。

webpack 构建流程

Webpack 的运行流程是一个串行的过程,从启动到结束会依次执行以下流程 :

1. 初始化参数：从配置文件和 Shell 语句中读取与合并参数,得出最终的参数。
2. 开始编译：用上一步得到的参数初始化 Compiler 对象,加载所有配置的插件,执行对象的 run 方法开始执行编译。
3. 确定入口：根据配置中的 entry 找出所有的入口文件。
4. 编译模块：从入口文件出发,调用所有配置的 Loader 对模块进行翻译,再找出该模块依赖的模块,再递归本步骤直到所有入口依赖的文件都经过了本步骤的处理。
5. 完成模块编译：在经过第 4 步使用 Loader 翻译完所有模块后,得到了每个模块被翻译后的最终内容以及它们之间的依赖关系。
6. 输出资源：根据入口和模块之间的依赖关系,组装成一个个包含多个模块的 Chunk,再把每个 Chunk 转换成一个单独的文件加入到输出列表,这步是可以修改输出内容的最后机会。
7. 输出完成：在确定好输出内容后,根据配置确定输出的路径和文件名,把文件内容写入到文件系统。

在以上过程中,Webpack 会在特定的时间点广播出特定的事件,插件在监听到感兴趣的事件后会执行特定的逻辑,并且插件可以调用 Webpack 提供的 API 改变 Webpack 的运行结果。

参考：

webpack打包原理 ? 看完这篇你就懂了 ! (juejin.cn) (opens new window)

安全相关

前端会有那些问题

主要会有下面几大问题

• iframe

  这个就是别的网站可能会内嵌你的网页，然后通过iframe来获取相关信息。解决方法有下面两个：

  // 检测当前网站是否被第三方iframe引用
  // 若相等证明没有被第三方引用，若不等证明被第三方引用。当发现被引用时强制跳转百度。
  if(top.location != self.location){
      top.location.href = 'http://www.baidu.com'
  }
  

  第二个就是使用sandbox来进行操作

• opener

  // 1) HTML -> <a target='_blank' href='http://www.baidu.com'>
  // 2)  JS  -> window.open('http://www.baidu.com')
  
  /* 
   * 这两种方式看起来没有问题，但是存在漏洞。
   * 通过这两种方式打开的页面可以使用 window.opener 来访问源页面的 window 对象。
   * 场景：A 页面通过 <a> 或 window.open 方式，打开 B 页面。但是 B 页面存在恶意代码如下：
   * window.opener.location.replace('https://www.baidu.com') 【此代码仅针对打开新标签有效】
   * 此时，用户正在浏览新标签页，但是原来网站的标签页已经被导航到了百度页面。
   * 恶意网站可以伪造一个足以欺骗用户的页面，使得进行恶意破坏。
   * 即使在跨域状态下 opener 仍可以调用 location.replace 方法。
   */
  

  我们可以通过rel属性来进行控制

  <a target="_blank" href="" rel="noopener noreferrer nofollow">a标签跳转url</a>
  
  <!-- 
    通过 rel 属性进行控制：
    noopener：会将 window.opener 置空，从而源标签页不会进行跳转（存在浏览器兼容问题）
    noreferrer：兼容老浏览器/火狐。禁用HTTP头部Referer属性（后端方式）。
    nofollow：SEO权重优化，详情见 https://blog.csdn.net/qq_33981438/article/details/80909881
   -->
  

  当然可以可以直接使用js来进行设置

  <button onclick='openurl("http://www.baidu.com")'>click跳转</button>
  
  function openurl(url) {
      var newTab = window.open();
      newTab.opener = null;
      newTab.location = url;
  }
  

• CSRF（跨站请求伪造）

  你可以这么理解 CSRF 攻击：攻击者盗用了你的身份，以你的名义进行恶意请求。它能做的事情有很多包括：以你的名义发送邮件、发信息、盗取账号、购买商品、虚拟货币转账等。总结起来就是：个人隐私暴露及财产安全问题。

  /*
   * 阐述 CSRF 攻击思想：（核心2和3）
   * 1、浏览并登录信任网站（举例：淘宝）
   * 2、登录成功后在浏览器产生信息存储（举例：cookie）
   * 3、用户在没有登出淘宝的情况下，访问危险网站
   * 4、危险网站中存在恶意代码，代码为发送一个恶意请求（举例：购买商品/余额转账）
   * 5、携带刚刚在浏览器产生的信息进行恶意请求
   * 6、淘宝验证请求为合法请求（区分不出是否是该用户发送）
   * 7、达到了恶意目标
   */
  

  防御措施（推荐添加token / HTTP头自定义属性）

  • 涉及到数据修改操作严格使用 post 请求而不是 get 请求
  • HTTP 协议中使用 Referer 属性来确定请求来源进行过滤（禁止外域）
  • 请求地址添加 token ，使黑客无法伪造用户请求
  • HTTP 头自定义属性验证（类似上一条）
  • 显示验证方式：添加验证码、密码等

• XSS（跨站脚本攻击）

  XSS又叫CSS（Cross Site Script），跨站脚本攻击：攻击者在目标网站植入恶意脚本（js / html），用户在浏览器上运行时可以获取用户敏感信息（cookie / session）、修改web页面以欺骗用户、与其他漏洞相结合形成蠕虫等。

  浏览器遇到 html 中的 script 标签时，会解析并执行其中的js代码。举例：

  

  针对这种情况，我们对特殊字符进行转译就好了（vue/react等主流框架已经避免类似问题，vue举例：不能在template中写script标签，无法在js中通过ref或append等方式动态改变或添加script标签）

  XSS的几个类型

  • 持久型XSS：将脚本植入到服务器上，从而导致每个访问的用户都会执行
  • 非持久型XSS：对个体用户某url的参数进行攻击

  防御措施（对用户输入内容和服务端返回内容进行过滤和转译）

  • 现代大部分浏览器都自带 XSS 筛选器，vue / react 等成熟框架也对 XSS 进行一些防护即便如此，我们在开发时也要注意和小心
  • 对用户输入内容和服务端返回内容进行过滤和转译
  • 重要内容加密传输
  • 合理使用get/post等请求方式
  • 对于URL携带参数谨慎使用
  • 我们无法做到彻底阻止，但是能增加黑客攻击成本，当成本与利益不符时自然会降低风险

• ClickJacking（点击劫持）

  ClickJacking 翻译过来被称为点击劫持。一般会利用透明 iframe 覆盖原网页诱导用户进行某些操作达成目的。

  防御措施

  • 在HTTP投中加入 X-FRAME-OPTIONS 属性，此属性控制页面是否可被嵌入 iframe 中【DENY：不能被所有网站嵌套或加载；SAMEORIGIN：只能被同域网站嵌套或加载；ALLOW-FROM URL：可以被指定网站嵌套或加载。】
  • 判断当前网页是否被 iframe 嵌套（详情在第一条 firame 中）

• HSTS（HTTP严格传输安全）

  网站接受从 HTTP 请求跳转到 HTTPS 请求的做法，例如我们输入“http://www.baidu.com (opens new window)”或“www.baidu.com”最终都会被302重定向到“https://www.baidu.com (opens new window)”。这就存在安全风险，当我们第一次通过 HTTP 或域名进行访问时，302重定向有可能会被劫持，篡改成一个恶意或钓鱼网站。 HSTS：通知浏览器此网站禁止使用 HTTP 方式加载，浏览器应该自动把所有尝试使用 HTTP 的请求自动替换为 HTTPS 进行请求。用户首次访问时并不受 HSTS 保护，因为第一次还未形成链接。我们可以通过 浏览器预置HSTS域名列表 或 将HSTS信息加入到域名系统记录中，来解决第一次访问的问题。

• CND劫持

  出于性能考虑，前端应用通常会把一些静态资源存放到CDN（Content Delivery Networks）上面，例如 js 脚本和 style 文件。这么做可以显著提高前端应用的访问速度，但与此同时却也隐含了一个新的安全风险。如果攻击者劫持了CDN，或者对CDN中的资源进行了污染，攻击者可以肆意篡改我们的前端页面，对用户实施攻击。 现在的CDN以支持SRI为荣，script 和 link 标签有了新的属性 integrity，这个属性是为了防止校验资源完整性来判断是否被篡改。它通过 验证获取文件的哈希值是否和你提供的哈希值一样来判断资源是否被篡改。 使用 SRI 需要两个条件：一是要保证 资源同域 或开启跨域，二是在