前端面试想要得高分，看过来~~~【html吧】_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：98,009贴子：
前端面试想要得高分，看过来~~~收藏
理论是基础，有些东西还是要温故而知新吧，闲余之时还是要“炒炒现饭”。下面小编把“阿里Web前端开发面试题”贴出来，大伙看看吧~~ 1. CSS 盒子模型，绝对定位和相对定位1）清除浮动，什么前端面试想要得高分，看过来~~~时候需要清除浮动，清除浮动都有哪些方法 2）如何保持浮层水平垂直居中 3）position 和 display 的取值和各自的意思和用法 4）样式的层级关系，选择器优先级，样式冲突，以及抽离样式模块怎么写，说出思路，有无实践经验2. JavaScript 基础1）JavaScript 里有哪些数据类型，解释清楚 null 和 undefined，解释清楚原始数据类型和引用数据类型。比如讲一下 1 和 Number(1) 的区别 2）将一下 prototype 是什么东西，原型链的理解，什么时候用 prototype 3）函数里的this什么含义，什么情况下，怎么用。 4）apply 和 call 什么含义，什么区别？什么时候用。 5）数组和对象有哪些原生方法，列举一下，分别是什么含义，比如链接两个数组用哪个方法，删除数组的质定项。 3. JavaScript 的面向对象1）JS 模块包装格式都用过哪些，CommonJS、AMD、CMD、KMD。定义一个js 模块代码，最精简的格式是怎样。 2）JS 怎么实现一个类。怎么实例化这个类。 3）是否了解自定义事件。jQuery里的fire函数是什么意思，什么时候用。 4）说一下了解的js 设计模式，解释一下单例、工厂、观察者。 5）ajax 跨域有哪些方法，jsonp 的原理是什么，如果页面编码和被请求的资源编码不一致如何处理？ 4. 开源工具1）是否了解开源的工具 bower、npm、yeoman、Grunt、gulp，有无用过，有无写过，一个 npm 的包里的 package.json 具备的必要的字段都有哪些（名称、版本号，依赖） 2）fiddle、charles 有没有用过，什么时候用 3）会不会用 ps 扣图，png、jpg、gif 这些图片格式解释一下，分别什么时候用。是否了解webp 4）说一下你常用的命令行工具 5）会不会用git，说上来几个命令，说一下git和svn的区别，有没有用git解决过冲突 5. 计算机基础1）说一下网络五层模型（HTTP协议从应用层到底层都基于哪些协议），HTTP 协议头字段说上来几个，缓存字段是怎么定义的，http和https的区别，在具体使用的时候有什么不一样。是否尽可能详细的掌握HTTP协议。 2）cookies 是干嘛的，服务器和浏览器之间的 cookies 是怎么传的，httponly 的 cookies 和可读写的 cookie 有什么区别，有无长度限制 3）从敲入 URL 到渲染完成的整个过程，包括 DOM 构建的过程，说的约详细越好。 4）是否了解web注入攻击，说下原理，最常见的两种攻击（XSS 和 CSRF）了解到什么程度。 5）是否了解公钥加密和私钥加密。如何确保表单提交里的密码字段不被泄露。验证码是干嘛的，是为了解决什么安全问题。 6）编码常识：文件编码、URL 编码、Unicode编码什么含义。一个gbk编码的页面如何正确引用一个utf8的的资源 6.考察学习能力和方法1）你每天必须登录的网站（前端技术相关）是什么？ 2）前端技术方面看过哪些书，有无笔记，都有哪些收获。 3）收藏了哪些代码片段？ 4）怎么理解前端技术的大趋势？自己再做哪方面的知识储备？ 　　通过上面一些知识，我们可以找出自己的一些不足.【html&css】免费学习资料，搜【WEB前端互动交流群】
登录百度帐号推荐应用Web前端工程师面试题你能答出来几个？【html吧】_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：98,009贴子：
Web前端工程师面试题你能答出来几个？收藏
理论是基础，有些东西还是要温故而知新吧，闲余之时还是要“炒炒现饭”。下面小编把“阿里Web前端开发面试题”贴出来，大伙看看吧~~ 　　1. CSS 盒子模型，绝对定位和相对定位　　1）清除浮动，什么时候需要清除浮动，清除浮动都有哪些方法 　　2）如何保持浮层水平垂直居中 　　3）position 和 display 的取值和各自的意思和用法 　　4）样式的层级关系，选择器优先级，样式冲突，以及抽离样式模块怎么写，说出思路，有无实践经验　　2. JavaScript 基础　　1）JavaScript 里有哪些数据类型，解释清楚 null 和 undefined，解释清楚原始数据类型和引用数据类型。比如讲一下 1 和Number(1) 的区别 　　2）将一下 prototype 是什么东西，原型链的理解，什么时候用 prototype 　　3）函数里的this什么含义，什么情况下，怎么用。 　　4）apply 和 call 什么含义，什么区别？什么时候用。 　　5）数组和对象有哪些原生方法，列举一下，分别是什么含义，比如链接两个数组用哪个方法，删除数组的质定项。 　　3. JavaScript 的面向对象　　1）JS 模块包装格式都用过哪些，CommonJS、AMD、CMD、KMD。定义一个js 模块代码，最精简的格式是怎样。 　　2）JS 怎么实现一个类。怎么实例化这个类。 　　3）是否了解自定义事件。jQuery里的fire函数是什么意思，什么时候用。 　　4）说一下了解的js 设计模式，解释一下单例、工厂、观察者。 　　5）ajax 跨域有哪些方法，jsonp 的原理是什么，如果页面编码和被请求的资源编码不一致如何处理？ 　　4. 开源工具　　1）是否了解开源的工具 bower、npm、yeoman、Grunt、gulp，有无用过，有无写过，一个 npm 的包里的 package.json 具备的必要的字段都有哪些（名称、版本号，依赖） 　　2）fiddle、charles 有没有用过，什么时候用 　　3）会不会用 ps 扣图，png、jpg、gif 这些图片格式解释一下，分别什么时候用。是否了解webp 　　4）说一下你常用的命令行工具 　　5）会不会用git，说上来几个命令，说一下git和svn的区别，有没有用git解决过冲突 　　5. 计算机基础　　1）说一下网络五层模型（HTTP协议从应用层到底层都基于哪些协议），HTTP 协议头字段说上来几个，缓存字段是怎么定义的，http和https的区别，在具体使用的时候有什么不一样。是否尽可能详细的掌握HTTP协议。 　　2）cookies 是干嘛的，服务器和浏览器之间的 cookies 是怎么传的，httponly 的 cookies 和可读写的 cookie 有什么区别，有无长度限制 　　3）从敲入 URL 到渲染完成的整个过程，包括 DOM 构建的过程，说的约详细越好。 　　4）是否了解web注入攻击，说下原理，最常见的两种攻击（XSS 和 CSRF）了解到什么程度。 　　5）是否了解公钥加密和私钥加密。如何确保表单提交里的密码字段不被泄露。验证码是干嘛的，是为了解决什么安全问题。 　　6）编码常识：文件编码、URL 编码、Unicode编码 什么含义。一个gbk编码的页面如何正确引用一个utf8的的资源 　　6.考察学习能力和方法　　1）你每天必须登录的网站（前端技术相关）是什么？ 　　2）前端技术方面看过哪些书，有无笔记，都有哪些收获。 　　3）收藏了哪些代码片段？ 　　4）怎么理解前端技术的大趋势？自己再做哪方面的知识储备？ 　　通过上面一些知识，我们可以找出自己的一些不足.
登录百度帐号推荐应用> 常见的web漏洞
在常见的web漏洞中，SQL注入漏洞较为常见，危害也较大。攻击者一旦利用系统中存在的SQL注
SSRF是一种常见的Web漏洞，通常存在于需要请求外部内容的逻辑中，比如本地化网络图片、XM
XSS 全称(Cross Site Scripting) 跨站脚本攻击， 是Web程序中最常见的漏洞。指攻击者在网页中嵌
XSS 全称(Cross Site Scripting) 跨站脚本攻击， 是Web程序中最常见的漏洞。指攻击者在网页中嵌
BWAPP buggy web Application 这是一个集成了各种常见漏洞和最新漏洞的开源Web应用程序，目的是
CSRF是Web应用程序的一种常见漏洞，其攻击特性是危害性大但非常隐蔽，尤其是在大量Web 2 0
XSS 全称(Cross Site Scripting) 跨站脚本攻击， 是web程序中最常见的漏洞。指攻击者在网页中嵌
【文件上传漏洞】1 对用户上传的文件没有进行充分合理的验证，导致被上传木马等恶意文
XSS又称CSS，全称Cross SiteScript，跨站脚本攻击，是Web程序中常见的漏洞，XSS属于被动式且用
0x01 注入漏洞简介注入漏洞是web应用中最常见的安全漏洞之一，由于一些程序没有过滤用户
0x00 越权漏洞越权漏洞是Web应用程序中一种常见的安全漏洞。它的威胁在于一个账户即可控
跨站脚本攻击(XSS)是web应用程序中最危险和最常见的安全漏洞之一。安全研究人员发现这个
XSS 全称(Cross Site Scripting) 跨站脚本攻击， 是Web程序中最常见的漏洞。指攻击者在网页中嵌
在前几期文章中我们针对常见Web安全漏洞的攻击与防范方法进行了分析和描述，并了解到Web
开放Web应用安全项目(OWASP)很快会发布今年的10大Web应用安全漏洞清单。这个清单与去年并没
CSRF漏洞(Cross-Site Request Forgery)，是Web应用中常见的一种攻击方法，存在被CSRF攻击可能的站点
平时工作，多数是开发Web项目，由于一般是开发内部使用的业务系统，所以对于安全性一般
XSS 全称(Cross Site Scripting) 跨站脚本攻击， 是Web程序中最常见的漏洞。指攻击者在网页中嵌
PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一，国内著名的Web应用程序Discuz!、De
CSRF 的基本概念特性跨站请求伪造（CSRF）的是Web 应用程序一种常见的漏洞，其攻击特性是
iOS 10 3 2漏洞让iPhone 5S 6 6S 7遭殃：苹果无视，对于已经升级iOS 10 3 2的果粉来说，iPhone整个家
有漏洞？在线教程里的PHP代码被直接复制到程序中，在线教程中的示例代码经常会被人直接
News module是TYPO3中20种最常用的模块之一，爆出存在SQL注入漏洞。尽管作者已经在4个月中多
来自IOACTIVE的研究人员最近发现了存在于Linksys智能Wifi路由器中的漏洞。研究人员
Jackson框架Java反序列化远程代码执行漏洞技术分析与防护方案。北京时间4月15日，Jackson框架
移动端网页设计常见问题和技巧，随着科技进步，人们日常生活中越来越依靠移动设备，在
WIN10桌面图标变白怎么办：（一）最为常见的都是设置了显示设置中的：（更改文本丶应用
XML文件的解析，网络上传输数据最常见的两种格式是 XML 和JSON。
你必须知道的6大常见网络攻击和对策。
hibernate一些常见错误，1 org hibernate MappingException:Foreign key must have same number of columns as the refer
热门文章热门标签
09月21日 |
09月21日 |
09月21日 |
09月21日 |
09月21日 |
09月21日 |
09月21日 |
09月21日 |如何防止web攻击—PHP初学者需要了解的安全性问题 - ThinkPHP框架
常见的Web攻击分为两类：一是利用Web服务器的漏洞进行攻击，如CGI缓冲区溢出，目录遍历漏洞利用等攻击;二是利用网页自身的安全漏洞进行攻击，如SQL注入，跨站脚本攻击等。
SQL注入攻击(SQL Injection)
攻击者把SQL命令插入到Web表单的输入域或页面请求的字符串，欺骗服务器执行恶意的SQL命令。在某些表单中，用户输入的内容直接用来构造（或者影响）动态SQL命令，或作为存储过程的输入参数，这类表单特别容易受到SQL注入式攻击。
常见的SQL注入式攻击过程类如：
1.某个Web应用有一个登录页面，这个登录页面控制着用户是否有权访问应用，它要求用户输入一个名称和密码；
2.登录页面中输入的内容将直接用来构造动态的SQL命令，或者直接用作存储过程的参数；
例如：$query&=&'SELECT&*&from&Users&WHERE&login&=&'&.&$username&.&'&AND&password&=&'&.&$3.攻击者在用户名字和密码输入框中输入'或'1'='1之类的内容；
4.用户输入的内容提交给服务器之后，服务器运行上面的代码构造出查询用户的SQL命令，但由于攻击者输入的内容非常特殊，所以最后得到的SQL命令变成：SELECT&*&from&Users&WHERE&login&=&''&or&'1'='1'&AND&password&=&''&or&'1'='1'；5.服务器执行查询或存储过程，将用户输入的身份信息和服务器中保存的身份信息进行对比；
6.由于SQL命令实际上已被注入式攻击修改，已经不能真正验证用户身份，所以系统会错误地授权给攻击者。
如果攻击者知道应用会将表单中输入的内容直接用于验证身份的查询，他就会尝试输入某些特殊的SQL字符串篡改查询改变其原来的功能，欺骗系统授予访问权限。
系统环境不同，攻击者可能造成的损害也不同，这主要由应用访问数据库的安全权限决定。如果用户的帐户具有管理员或其他比较高级的权限，攻击者就可能对数据库的表执行各种他想要做的操作，包括添加、删除或更新数据，甚至可能直接删除表
防范方法：
1.检查变量数据类型和格式
2.过滤特殊符号
3.绑定变量，使用预编译语句
跨网站脚本攻击(Cross Site scripting, XSS)
攻击者将恶意代码注入到网页上，其他用户在加载网页时就会执行代码，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和cookie等各种内容。这些恶意代码通常是javascript、HTML以及其他客户端脚本语言。
例如：&?php
echo&&欢迎您，&.$_GET['name'];如果传入一段脚本&script&&/script& ，那么脚本也会执行。用这样的URL将会执行javascript的alert函数弹出一个对话框：http://localhost/test.php?name=&script&alert(123456)&/script&
常用的攻击手段有：
盗用cookie，获取敏感信息；
利用iframe、frame、xmlHttpRequest或上述Flash等方式，以（被攻击）用户的身份执行一些管理动作，或执行一些一般的如发微博、加好友、发私信等操作；
利用可被攻击的域受到其他域信任的特点，以受信任来源的身份请求一些平时不允许的操作，如进行不当的投票活动；
在访问量极大的一些页面上的XSS可以攻击一些小型网站，实现DDoS攻击的效果。
防范方法：使用htmlspecialchars函数将特殊字符转换成HTML编码，过滤输出的变量
跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF)
攻击者伪造目标用户的HTTP请求，然后此请求发送到有CSRF漏洞的网站，网站执行此请求后，引发跨站请求伪造攻击。攻击者利用隐蔽的HTTP连接，让目标用户在不注意的情况下单击这个链接，由于是用户自己点击的，而他又是合法用户拥有合法权限，所以目标用户能够在网站内执行特定的HTTP链接，从而达到攻击者的目的。
它与XSS的攻击方法不同，XSS利用漏洞影响站点内的用户，攻击目标是同一站点内的用户者，而CSRF 通过伪装成受害用户发送恶意请求来影响Web系统中受害用户的利益。
某个购物网站购买商品时，采用/buy.php?item=watch&num=100
item参数确定要购买什么物品，num参数确定要购买数量，如果攻击者以隐藏的方式发送给目标用户链接那么如果目标用户不小心访问以后，购买的数量就成了100个
防范方法：
1、检查网页的来源
2、检查内置的隐藏变量
3、使用POST，不要使用GET，处理变量也不要直接使用$_REQUEST
Session固定攻击(Session Fixation)
这种攻击方式的核心要点就是让合法用户使用攻击者预先设定的session id来访问被攻击的应用程序，一旦用户的会话ID被成功固定，攻击者就可以通过此session id来冒充用户访问应用程序。
1.攻击者访问网站，获取他自己的session id，如：SID=123；
2.攻击者给目标用户发送链接，并带上自己的session id，如：/?SID=123；
3.目标用户点击了/?SID=123，像往常一样，输入自己的用户名、密码登录到网站；
4.由于服务器的session id不改变，现在攻击者点击/?SID=123，他就拥有了目标用户的身份，可以为所欲为了。
防范方法：
1.定期更改session idsession_regenerate_id(TRUE);//删除旧的session文件，每次都会产生一个新的session&id。默认false，保留旧的session
2.更改session的名称
session的默认名称是PHPSESSID，此变量会保存在cookie中，如果攻击者不抓包分析，就不能猜到这个名称，阻挡部分攻击[code]session_name(&mysessionid&);3.关闭透明化session id
透明化session id指当浏览器中的http请求没有使用cookie来制定session id时，sessioin id使用链接来传递int_set(&session.use_trans_sid&,&0);4.只从cookie检查session idint_set(&session.use_cookies&,&1);//表示使用cookies存放session&id
int_set(&session.use_only_cookies&,&1);//表示只使用cookies存放session&id5.使用URL传递隐藏参数$sid&=&md5(uniqid(rand()),&TRUE));
$_SESSION[&sid&]&=&$//攻击者虽然能获取session数据，但是无法得知$sid的值，只要检查sid的值，就可以确认当前页面是否是web程序自己调用的Session劫持攻击(Session Hijacking)
会话劫持是指攻击者利用各种手段来获取目标用户的session id。一旦获取到session id，那么攻击者可以利用目标用户的身份来登录网站，获取目标用户的操作权限。
攻击者获取目标用户session id的方法:
1.暴力破解:尝试各种session id，直到破解为止;
2.计算:如果session id使用非随机的方式产生，那么就有可能计算出来;
3.窃取:使用网络截获，xss攻击等方法获得
防范方法：
1.定期更改session id
2.更改session的名称
3.关闭透明化session id
4.设置HttpOnly。通过设置Cookie的HttpOnly为true，可以防止客户端脚本访问这个Cookie，从而有效的防止XSS攻击。文件上传漏洞攻击(File&Upload&Attack)文件上传漏洞指攻击者利用程序缺陷绕过系统对文件的验证与处理策略将恶意代码上传到服务器并获得执行服务器端命令的能力。
常用的攻击手段有：
上传Web脚本代码，Web容器解释执行上传的恶意脚本；
上传Flash跨域策略文件crossdomain.xml，修改访问权限(其他策略文件利用方式类似)；
上传病毒、木马文件，诱骗用户和管理员下载执行；
上传包含脚本的图片，某些浏览器的低级版本会执行该脚本，用于钓鱼和欺诈。
总的来说，利用的上传文件要么具备可执行能力(恶意代码)，要么具备影响服务器行为的能力(配置文件)。
防范方法：
1.文件上传的目录设置为不可执行；
2.判断文件类型，设置白名单。对于图片的处理，可以使用压缩函数或者resize函数，在处理图片的同时破坏图片中可能包含的HTML代码；
3.使用随机数改写文件名和文件路径：一个是上传后无法访问；再来就是像shell.php.rar.rar和crossdomain.xml这种文件，都将因为重命名而无法攻击；
4.单独设置文件服务器的域名：由于浏览器同源策略的关系，一系列客户端攻击将失效，比如上传crossdomain.xml、上传包含javascript的XSS利用等问题将得到解决。
原文链接：
积分：5461
ThinkPHP 是一个免费开源的，快速、简单的面向对象的 轻量级PHP开发框架 ，创立于2006年初，遵循Apache2开源协议发布，是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设计原则，在保持出色的性能和至简的代码的同时，也注重易用性。并且拥有众多的原创功能和特性，在社区团队的积极参与下，在易用性、扩展性和性能方面不断优化和改进，已经成长为国内最领先和最具影响力的WEB应用开发框架，众多的典型案例确保可以稳定用于商业以及门户级的开发。