win

JavaScript本身不发起CSRF攻击，而是作为载体诱使浏览器发送带Cookie的恶意请求；防护必须由服务端实现，如CSRF Token、SameSite Cookie或双重Token机制。 JavaScript CSRF（跨站请求伪造）攻击不是通过 JavaScript 直接发起的“CSRF …

标记清除是JavaScript垃圾回收的核心机制，通过从根对象（如全局对象、执行栈变量等）出发标记可达对象，再清除未标记的“孤儿”对象；它能处理循环引用，因只依赖路径可达性而非引用计数。 标记清除是 JavaScript 垃圾回收的核心机制，现代引擎（如 V8）主要靠它来判断哪些对象该被释放。它不看…

前端路由核心是监听URL变化、解析路径、匹配规则并动态渲染，关键用history.pushState、popstate事件和路径解析逻辑，需手动触发首次匹配并处理404与服务端配置。 用 JavaScript 实现前端路由，核心是监听 URL 变化、解析路径、匹配规则、动态渲染对应内容——不依赖框架…

JavaScript实现网页动态效果的核心是事件驱动、DOM操作和异步处理三大基础：通过addEventListener监听用户交互，用classList/style/innerHTML等操作DOM，结合CSS transition实现平滑动画，并用防抖节流优化高频事件性能。 JavaScript …

严格模式通过主动报错暴露隐性问题：未声明变量赋值抛出ReferenceError、this为undefined而非全局对象、禁止对只读属性赋值等；以’use strict’指令启用，兼容旧浏览器，提升代码安全性与可维护性。 JavaScript 严格模式是一种让代码在更规范、…

JavaScript语音合成依赖Web Speech API的SpeechSynthesis接口，支持Chrome、Edge等主流浏览器，需检测window.speechSynthesis可用性、监听voiceschanged事件获取音色，设置utterance属性后调用speak()播放，注意Sa…

localStorage是浏览器提供的同源、持久化字符串存储机制，容量5–10MB，需手动JSON序列化对象，支持setItem/getItem/removeItem/clear，可通过storage事件监听跨标签页变更，但不防XSS且无过期机制。 localStorage 是浏览器提供的一种简单持…

JavaScript性能优化本质是提升执行速度、节省内存、增强响应性，核心在于减少主线程阻塞、降低重复开销、防止内存泄漏；具体包括缓存不变量、用for替代高阶函数、批量DOM操作、事件委托、及时清理引用、合理使用闭包、防抖节流、Web Worker及Promise.all并行请求。 JavaScri…

Service Worker 是运行在主线程外的可编程网络代理，支持离线访问、消息推送等，需 HTTPS 部署（localhost 除外），通过 install/fetch 事件实现缓存与离线响应。 Service Worker 是浏览器里一个可编程的网络代理，它运行在主线程之外，能拦截和处理网络请…

Web Workers 是 JavaScript 在后台线程运行脚本的机制，通过独立隔离的执行环境实现并发，避免阻塞主线程；每个 Worker 有独立上下文、无 DOM 访问权，通信靠 postMessage 和 message 事件，支持结构化克隆与 transferable objects 零拷…