cookie

Fetch API 是当前主流网络请求方案，比 XMLHttpRequest 更简洁现代，但默认不带 Cookie 且 404/500 不自动报错；需用 res.ok 判断、credentials: ‘include’ 携带 Cookie、AbortController 实现…

sessionStorage和localStorage生命周期与共享范围不同：前者仅限当前标签页会话，关闭即清空；后者持久存储，除非手动清除。适用场景上，前者适合临时数据如表单草稿，后者适合长期偏好如主题设置。 SessionStorage 和 localStorage 都是浏览器提供的 Web S…

JWT是令牌格式标准，OAuth是授权框架；JWT由Header.Payload.Signature三部分组成，用于服务端签发、客户端携带、服务端校验；OAuth 2.0实现第三方授权委托，不处理认证本身，常返回JWT格式的Access Token。 JWT（JSON Web Token）和OAut…

XSS是因输入未过滤导致恶意JS执行的漏洞，防范关键是不让不可信数据以脚本方式运行；需对用户输入、URL参数、Cookie等默认不可信，并按HTML、JS、CSS、URL上下文分别转义。 JavaScript本身没有“安全_XSS攻击”这个概念，XSS（跨站脚本攻击）是一种利用网站对用户输入缺乏过滤…

JavaScript通过document.cookie操作Cookie，其为可读写字符串需手动解析；写入需格式化字符串并注意path/domain等属性，读取需split+decodeURIComponent，删除靠覆盖过期时间，推荐用js-cookie库替代原生操作。 JavaScript 中操作…

服务端渲染（SSR）指在服务器运行JavaScript生成完整HTML再返回浏览器，解决CSR首屏白屏、SEO差、弱网体验不佳问题；需规避浏览器API、统一数据获取、保证水合一致性，并区分SSR/SSG/ISR适用场景。 JavaScript服务端渲染（SSR）是指在服务器上运行 JavaScrip…

常见JavaScript安全漏洞包括DOM型XSS、敏感信息泄露、第三方库隐患和不安全CORS配置；防御XSS需HTML编码、用textContent替代innerHTML、启用CSP；防御CSRF需CSRF Token、SameSite Cookie及二次验证。 JavaScript中主要的安全漏…

Cookie是浏览器端小型文本存储机制，用于保存登录状态等数据，随同源请求自动发送；其结构含键值对及expires、max-age、path等属性，JavaScript通过document.cookie设置，删除需覆盖过期值且路径域名严格匹配。 Cookie 是浏览器提供的一种小型文本存储机制，用于…

Web Workers 是浏览器提供的后台线程 API，通过独立执行上下文与主线程消息通信实现并发，不阻塞主线程且无法访问 DOM；需用 postMessage 传递可序列化数据，适用于纯计算等任务。 Web Workers 是浏览器提供的一个 API，让你能在后台线程中运行 JavaScript …

Web Workers 是浏览器提供的真正多线程机制，通过独立执行上下文实现后台任务运行，避免阻塞主线程；适用于密集计算、图像处理、大数据解析等场景，需用 postMessage 通信且不可访问 DOM。 Web Workers 是浏览器提供的、让 JavaScript 在后台线程中运行的机制，它不…