跨域

JavaScript中建立WebSocket连接需用new WebSocket(url)创建实例，正确处理onopen、onmessage、onerror、onclose事件，并在readyState为OPEN时调用send()发送数据，关闭时用close()。 JavaScript 中建立 Web…

JavaScript操作XML主要用DOMParser解析字符串为DOM对象、XMLSerializer序列化回字符串，并配合DOM API查询修改；现代浏览器原生支持，无需额外库。 JavaScript 操作 XML 数据主要依靠浏览器内置的 DOMParser（解析 XML 字符串为 DOM 对…

localStorage是JavaScript本地存储中最常用的方式，提供持久化键值对存储且数据在浏览器关闭后仍保留；它属于Web Storage API，仅支持字符串、容量约5–10MB、同域隔离，需用setItem()/getItem()/removeItem()等方法操作，并避免存储敏感信息。…

JavaScript 操作 CSS 的核心方式是通过修改元素的 style 属性（内联样式）或切换 class 名来间接控制样式，前者适合简单、临时的样式变更，后者更推荐用于可复用、易维护的动态样式控制。 直接修改元素的 style 属性 每个 DOM 元素都有一个 style 属性，它是一个 CS…

JavaScript跨域通信的核心方法是postMessage，它安全、标准、兼容IE8+，适用于iframe、弹窗、Web Worker等双向实时通信场景；其他方式如CORS、JSONP主要用于单向数据请求。 JavaScript 跨域通信的核心方法是 postMessage，它安全、标准、兼容性…

Fetch API 是基于 Promise 的现代网络请求接口，语法简洁、支持 async/await；默认不带 Cookie，需显式配置 credentials；仅网络错误才 reject，HTTP 错误需手动检查；通过 AbortController 可中断请求。 Fetch API 是 Jav…

JavaScript本身不发起CSRF攻击，而是作为载体诱使浏览器发送带Cookie的恶意请求；防护必须由服务端实现，如CSRF Token、SameSite Cookie或双重Token机制。 JavaScript CSRF（跨站请求伪造）攻击不是通过 JavaScript 直接发起的“CSRF …

最常用、最推荐的JavaScript网络请求方式是fetch() API。它基于Promise、原生支持、简洁高效；支持GET/POST等方法，需手动处理HTTP错误和凭证配置；相比XMLHttpRequest更现代，推荐新项目使用。 用 JavaScript 发起网络请求，最常用、最推荐的方式是使…

localStorage长期保存且同源标签页共享，sessionStorage仅当前会话有效且各标签页隔离；二者均只支持字符串存储，API相同，容量约5–10MB，不参与网络传输，禁存敏感信息。 localStorage 和 sessionStorage 都是浏览器提供的客户端存储机制，用来在用户本…

JavaScript无法直接读取本地文件，需用户主动选择文件后通过File API（如或拖放事件获取File对象，再用FileReader异步读取）。 JavaScript 本身不能直接读取本地文件系统中的任意文件（出于安全限制），但可以通过用户主动选择文件后，利用 File API 在浏览器中读取…