前端安全性问题

1、xss跨站脚本攻击

主要原因：服务器端太相信客户端体检的数据
解决方法：

一般的组件现在都可以防范

比如vue可以设置 v-html直接让他过滤掉html文本

设置HEAD

ctx.set('X-XSS-Protection', 0) // 禁用XSS过滤

手动设置黑白名单

比如说通过字符串去过滤接收到的字符串内容

httpOnly Cookie

这是预防XSS攻击窃取用户cookie最有效的防御?段。Web应用程序在设置cookie时，将其属性设为HttpOnly，就可以避免该用户的cookie被客户端恶意JavaScript窃取，保护用户cookie信息。(一般情况下默认开启的)

2、CSRF跨站请求伪造（如何伪造法？怎么防御？等等都要说清楚）

同源检测

在 HTTP 协议中，每一个异步请求都会携带两个 Header ，用于标记来源域名。

验证码

验证码的种类有很多，比如图形验证码，基于人机之间知识差异的验证码，行为式验证码。

3、sql脚本注入（注入方式，防御方式）

设置字符限制对特殊字符进行过滤

re= /select|update|delete|exec|count|'|"|=|;|>|<|%/i;

4、上传漏洞 （防御方式）

（1）使用FireBug：

找到html源代码里面的Form表单，将onsubmit事件删除，JavaScript上传验证将会失效。

（2）中间人攻击：

使用Burb Suite则是按照正常的流程通过JavaScript验证，然后在传输中的HTTP层做手脚。（在上传时使用Burb Suite拦截上传数据，修改文件扩展名，就可以绕过客户端验证）。

vue相关

1、vue-router如何做历史返回提示？

第一种、使用全局函数beforeEach，直接来获取form.path(即为对应的上一次地址的路由path内容)；

beforeEach(to, from, next) {
path = from.path //path为定义的变量，不是vue的data定义的变量，当前生命周期data还未初始化
next()
}

第二种、使用组内共享函数beforeEnter，直接来获取form.path(即为对应的上一次地址的路由path内容)；

beforeEnter(to, from, next) {
path = from.path //path为定义的变量，不是vue的data定义的变量，当前生命周期data还未初始化
next()
}

第三种、使用组件内函数，beforeRouteEnter，，直接来获取form.path(即为对应的上一次地址的路由path内容)；

beforeRouteEnter(to, from, next) {
path = from.path //path为定义的变量，不是vue的data定义的变量，当前生命周期data还未初始化
next()
}

2、vue-router如何做用户登录权限等？
用vue-router来控制用户登录权限的原理，实际上就是应用了vue-router提供的router.beforeEach来注册一个全局钩子。3、vue生命周期beforeCreate（创建之前）created（创建完毕）beforeMount（挂载之前）mounted（挂载结束）beforeUpdate（更新之前）updated（更新结束）beforeDestroy（销毁之前）destroyed（销毁结束）

4、vue组件通信方法一、props/$emit父组件通过props
向下传递数据给子组件子组件通过events
给父组件发送消息方法二、$parent / $children与 refref
：如果在普通的 DOM 元素上使用，引用指向的就是 DOM 元素；如果用在子组件上，引用就指向组件实例$parent
 / $children
：访问父 / 子实例方法三、vuex Vuex实现了一个单向数据流，在全局拥有一个State存放数据，当组件要更改State中的数据时，必须通过Mutation进行，Mutation同时提供了订阅者模式供外部插件调用获取State数据的更新。

5、Vue 如何去除url中的 #vue-router
 默认使用 hash 
模式，所以在路由加载的时候，项目中的 url 会自带 #。如果不想使用 #， 可以使用 vue-router 的另一种模式 history6、vue性能优化1.对项目代码中的JS/CSS/SVG(*.ico)文件进行gzip压缩2.对路由组件进行懒加载3.源码优化v-if 和 v-show选择调用,如无需频繁切换最好用v-if 给item设置唯一key值，方便vuejs内部机制精准找到该条列表数据。 细分vuejs组件减少watch的数据内容类系统的图片资源按需加载(v-lazy,scroll)

es6相关

1.ES6常用语法总结

1.let

ES6新增了let命令，用来生命变量。它的用法类似于var,但是所声明的变量，只在let命令所在的代码块内有效。

2.const

const声明一个只读的常量，一旦声明，常量的值就不能改变。

3.箭头函数

ES6 允许使用“箭头”（=>）定义函数。

4.rest参数

ES6 引入 rest 参数（形式为...变量名），用于获取函数的多余参数，这样就不需要使用arguments对象了。rest 参数搭配的变量是一个数组，该变量将多余的参数放入数组中。

4.ES6中有很多方法就不一一举例。

javascript常见题目

this指向问题

this表示当前对象，如果在全局作用范围内使用this，则指代当前页面对象window；如果在函数中使用this，则this指代什么是根据运行时此函数在什么对象上被调用。我们还可以使用apply和call两个全局方法来改变函数中this的具体指向。

prototype

prototype本质上还是一个JavaScript对象。

并且每个函数都有一个默认的prototype属性。如果这个函数被用在创建自定义对象的场景中，我们称这个函数为构造函数。比如下面一个简单的场景：

constructor

constructor始终指向创建当前对象的构造函数。

javascript闭包的理解

闭包有两个主要用途，一是实现嵌套的回调函数，二是隐藏对象的细节。

全局变量、局部变量（函数内）：js中函数内部可以读取全局变量，函数外部不能读取函数内部的局部变量。（闭包的作用域区别）；

使用闭包进行私有属性的定义；

最近碰到问js如何实现数据双向绑定

为了实现这个功能我们需要用到js的一个方法Object.defineProperty

三个参数：

• 第一个：要定义属性的对象，
• 第二个：要定义或者修改的属性的名称
• 第三个：将被定义或者修改的属性的描述

<input type="text" id="inp"/>
<p id="showText"></p>

var obj = {};
　　Object.defineProperty(obj,"newProp",{
　　　　get:function(){
　　　　　　return obj;
　　　　},
　　　　set:function(newVal){
　　　　　　document.getElementById("inp").value = newVal;
　　　　　　document.getElementById("showText").innerHTML = newVal;
　　　　}
　　})
　　document.addEventListener("keyup",function(e){
　　　　obj.newProp = e.target.value;
　　})

一、如何处理跨域？

跨域大家都知道，不同地址，不同端口，不同级别，不同协议都会构成跨域。

jsonp

jsonp跨域也需要前后端配合使用。vue中使用jsonp需引入vue-jsonp；

CORS跨域资源共享

使用CORS，开发者可以使用普通的XMLHttpRequest发起请求和获得数据，比起JSONP有更好的错误处理。

二、一些状态码你了解吗？

200成功类、300重定向类、400客户端类、500服务器端类。

三、写出最简单的去重方式

es6的new Set()方式

四、写出最简单的去重方式

对 MVC、MVVM的理解

MVC

特点：

1. View 传送指令到 Controller
2. Controller 完成业务逻辑后，要求 Model 改变状态
3. Model 将新的数据发送到 View，用户得到反馈

MVVM

前后端分离：Model用纯JavaScript对象表示，View负责显示。

model：服务器的业务逻辑操作

view：用户界面

ViewModel：核心枢纽

关注后，私聊‘学习’。送价值648的信息系统项目管理师备考资料