1、post 進來的數據是 Buffer 類型,Buffer 一定可以 toString,結果是 ASCII 、亂碼、json字符串、querystring
2、querystring.parse() 是安全的,它僅根據 & 和 = 兩個符號切割
3、JSON.parse() 是不安全的,參數格式不對會拋異常,需要加 try catch
4、post 進來的數據的 Content-Type 可以約定僅支持三種普通類型:
text/plain //如果ajax沒有設置content-type,默認就是它
application/x-www-form-urlencoded
application/json
5、如果有文件上傳,傳的是 ArrayBuffer,後端收到不需要 toString, 可以另加約定 Content-Type 爲 :
file
6、對於跨站腳本攻擊,不應當對每個請求都處理,僅需要對特定的處理函數處理
7、靜態文件服務器需要指定目錄,否則其他目錄的文件也將被讀取
8、post 請求可以設定固定格式的url,因爲完全是背後處理
9、get 請求可能需要添加其他url格式的處理
10、html文件 js 和 css 按需拆分爲單文件便於緩存,文件需要壓縮處理
11、靜態文件路徑的正則如下:
/^\/Assets\/[\w]+\.[\w]{2,5}$/.test('/Assets/0f2aQEDf.s');