1 httponly能禁止js獲取cookie,但是瀏覽器本身會把cookie添加到請求頭的特性,導致xss中加個ajax請求,後端還是可以拿到cookie。
2 cookie太大會佔用網絡,應該只有需要發送到服務端的數據(如用戶id)存cookie,其它存localstorage;cookie不設置過期時間,則保存在內存中,瀏覽器關閉,cookie消失。
3 session存內存,文件還是數據庫主要看情況。
4 domain 是由服務端設置的,這個 domain 和當前瀏覽器的 url 是沒有關係的,是指代請求地址的域名,例如https://api.com/update 這個接口可以設置 Cookie 在 api.com 這個 domain 下面。但是並不妨礙你在你的 https://web.com 網站裏面使用這個接口,使用的時候,因爲你這個接口仍然是發給 api.com 的,所以當然要把 api.com 下的 Cookie 帶上。這就是csrf攻擊的原理
5 cookie的samesite屬性可以防止csrf攻擊;referer也可以防止此攻擊。
6 對象刪除某個屬性可以使用擴展運算符(...)
7 js引擎運行原理:解釋器優點是立即執行,缺點是代碼未被優化,較慢;編譯器優點是優化代碼使得執行更快,缺點是需要等待編譯完成。v8引擎結合兩者的優點,一邊通過編譯器優化和編譯代碼,一邊通過解釋器執行,編譯器編譯完成則會使用優化的代碼替代解釋器裏的代碼繼續執行。如下:
function add(){return 1+1} while(i<1000){add()};優化代碼後是把1+1 變爲2
8 instanceof 原理是右邊的prototype屬性在左邊的原型鏈上即爲true