整合营销服务商
电脑端+手机端+微信端=数据同步管理
免费咨询热线:
电脑端+手机端+微信端=数据同步管理
免费咨询热线:
参考回答:
https 的 SSL 加密是在传输层实现的。
(1)http 和 https 的基本概念
http: 超文本传输协议, 是互联网上应用最为广泛的一种网络协议, 是一个客户端和服 务器端请求和应答的标准 (TCP) , 用于从 WWW 服务器传输超文本到本地浏览器的传 输协议, 它可以使浏览器更加高效, 使网络传输减少。
https: 是以安全为目标的 HTTP 通道, 简单讲是 HTTP 的安全版, 即 HTTP 下加入 SSL 层, HTTPS 的安全基础是 SSL, 因此加密的详细内容就需要 SSL。
https 协议的主要作用是:建立一个信息安全通道,来确保数组的传输,确保网站的真实 性。
(2)http 和 https 的区别?
http 传输的数据都是未加密的,也就是明文的, 网景公司设置了 SSL 协议来对 http 协议 传输的数据进行加密处理,简单来说 https 协议是由 http 和 ssl 协议构建的可进行加密传 输和身份认证的网络协议, 比 http 协议的安全性更高。
主要的区别如下:
Https 协议需要 ca 证书, 费用较高。
http 是超文本传输协议, 信息是明文传输, https 则是具有安全性的 ssl 加密传输协议。 使用不同的链接方式, 端口也不同, 一般而言, http 协议的端口为 80, https 的端口为443。
http 的连接很简单,是无状态的;HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传 输 、身份认证的网络协议, 比 http 协议安全。
(3)https 协议的工作原理
客户端在使用 HTTPS 方式与 Web 服务器通信时有以下几个步骤, 如图所示。 客户使用 https url 访问服务器, 则要求web 服务器建立 ssl 链接。
web 服务器接收到客户端的请求之后, 会将网站的证书 (证书中包含了公钥) , 返回或 者说传输给客户端。
客户端和 web 服务器端开始协商 SSL 链接的安全等级, 也就是加密等级。
客户端浏览器通过双方协商一致的安全等级,建立会话密钥,然后通过网站的公钥来加 密会话密钥, 并传送给网站。
web 服务器通过自己的私钥解密出会话密钥。
web 服务器通过会话密钥加密与客户端之间的通信。
(4)https 协议的优点
使用HTTPS 协议可认证用户和服务器, 确保数据发送到正确的客户机和服务器;
HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输 、身份认证的网络协议, 要比 http 协议安全, 可防止数据在传输过程中不被窃取 、改变, 确保数据的完整性 。 HTTPS 是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻 击的成本。
谷歌曾在 2014 年 8 月份调整搜索引擎算法, 并称“比起同等 HTTP 网站, 采用 HTTPS 加密的网站在搜索结果中的排名将会更高”。
(5)https 协议的缺点
https 握手阶段比较费时, 会使页面加载时间延长 50%, 增加 10%~20%的耗电。
https 缓存不如 http 高效, 会增加数据开销。
SSL 证书也需要钱, 功能越强大的证书费用越高。
SSL 证书需要绑定 IP, 不能再同一个 ip 上绑定多个域名, ipv4 资源支持不了这种消耗。
参考回答:
客户端和服务端都需要直到各自可收发, 因此需要三次握手。
简化三次握手:
<img width="487" alt="2018-07-10 3 42 11" src="https://user-images.githubusercontent.com/ 17233651/42496289-1c6d668a-8458-11e8-98b3-65db50f64d48.png">从图片可以得到三次握手可以简化为:C 发起请求连接 S 确认,也发起连接 C 确认我们 再看看每次握手的作用: 第一次握手: S 只可以确认 自己可以接受 C 发送的报文段第 二次握手: C 可以确认 S 收到了自己发送的报文段, 并且可以确认 自己可以接受 S 发 送的报文段第三次握手: S 可以确认 C 收到了自己发送的报文段。
参考回答:
( 1) TCP 是面向连接的, udp 是无连接的即发送数据前不需要先建立链接。
( 2) TCP 提供可靠的服务 。也就是说, 通过 TCP 连接传送的数据, 无差错, 不丢失, 不重复, 且按序到达;UDP 尽最大努力交付, 即不保证可靠交付 。 并且因为 tcp 可靠, 面向连接, 不会丢失数据因此适合大数据量的交换。
( 3) TCP 是面向字节流,UDP 面向报文,并且网络出现拥塞不会使得发送速率降低 (因 此会出现丢包, 对实时的应用比如 IP 电话和视频会议等) 。
( 4) TCP 只能是 1 对 1 的, UDP 支持 1 对 1,1 对多。
( 5) TCP 的首部较大为 20 字节, 而 UDP 只有 8 字节。
( 6) TCP 是面向连接的可靠性传输, 而 UDP 是不可靠的。
参考回答:
(1)什么是 WebSocket?
WebSocket 是 HTML5 中的协议, 支持持久连续, http 协议不支持持久性连接 。Http1.0 和 HTTP1.1 都不支持持久性的链接, HTTP1.1 中的 keep-alive, 将多个 http 请求合并为 1 个
(2)WebSocket 是什么样的协议, 具体有什么优点?
HTTP 的生命周期通过 Request 来界定, 也就是 Request 一个 Response, 那么在 Http1.0 协议中, 这次 Http 请求就结束了 。在 Http1.1 中进行了改进, 是的有一个 connection: Keep-alive,也就是说,在一个 Http 连接中,可以发送多个 Request,接收多个 Response。 但是必须记住, 在 Http 中一个 Request 只能对应有一个 Response, 而且这个 Response 是被动的, 不能主动发起。
WebSocket 是基于 Http 协议的,或者说借用了 Http 协议来完成一部分握手,在握手阶段 与 Http 是相同的。我们来看一个 websocket 握手协议的实现,基本是 2 个属性,upgrade, connection。
基本请求如下:
GET /chat HTTP/1.1
Host: server.example.com
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Key: x3JJHMbDL1EzLkh9GBhXDw==
Sec-WebSocket-Protocol: chat, superchat
Sec-WebSocket-Version: 13
Origin: http://example.com
多了下面 2 个属性:
Upgrade:webSocket
Connection:Upgrade告诉服务器发送的是websocket
Sec-WebSocket-Key: x3JJHMbDL1EzLkh9GBhXDw==
Sec-WebSocket-Protocol: chat, superchat
Sec-WebSocket-Version: 13参考回答:
head: 类似于 get 请求, 只不过返回的响应中没有具体的内容, 用户获取报头 options: 允许客户端查看服务器的性能, 比如说服务器支持的请求方式等等。
参考回答:
请求的返回头里面, 用于浏览器解析的重要参数就是 OSS 的 API 文档里面的返回http 头, 决定用户下载行为的参数。
下载的情况下:
x-oss-object-type: Normal
x-oss-request-id: 598D5ED34F29D01FE2925F41
x-oss-storage-class: Standard参考回答:
能够被残障人士使用的网站才能称得上一个易用的 (易访问的) 网站。 残障人士指的是那些带有残疾或者身体不健康的用户。
使用 alt 属性:
<img src="person.jpg" alt="this is a person"/>有时候浏览器会无法显示图像 。具体的原因有:
用户关闭了图像显示
浏览器是不支持图形显示的迷你浏览器
浏览器是语音浏览器 (供盲人和弱视人群使用)
如果您使用了alt 属性, 那么浏览器至少可以显示或读出有关图像的描述。
参考回答:
什么是 Bom? Bom 是浏览器对象 。有哪些常用的 Bom 属性呢?
(1)location 对象
location.href-- 返回或设置当前文档的 URL
location.search -- 返回 URL 中的查询字符串部分 。 例
如 http://www.dreamdu.com/dreamdu.php?id=5&name=dreamdu 返回包括(?)后面的内 容?id=5&name=dreamdu
location.hash -- 返回 URL#后面的内容, 如果没有#, 返回空
location.host -- 返回 URL 中的域名部分, 例如 www.dreamdu.com
location.hostname -- 返回 URL 中的主域名部分, 例如 dreamdu.com
location.pathname -- 返回 URL 的域名后的部分 。例如 http://www.dreamdu.com/xhtml/ 返 回/xhtml/
location.port -- 返回 URL 中的端口部分 。 例如 http://www.dreamdu.com:8080/xhtml/ 返回8080
location.protocol -- 返回 URL 中的协议部分。例如 http://www.dreamdu.com:8080/xhtml/ 返 回(//)前面的内容 http:
location.assign -- 设置当前文档的 URL
location.replace() -- 设置当前文档的 URL, 并且在 history 对象的地址列表中移除这个 URL location.replace(url);
location.reload() -- 重载当前页面
(2)history 对象
history.go() -- 前进或后退指定的页面数 history.go(num);
history.back() -- 后退一页
history.forward() -- 前进一页
(3)Navigator 对象
navigator.userAgent -- 返回用户代理头的字符串表示(就是包括浏览器版本信息等的字 符串)。
navigator.cookieEnabled -- 返回浏览器是否支持(启用)cookie。
参考回答:
dragstart: 事件主体是被拖放元素, 在开始拖放被拖放元素时触发, 。
darg: 事件主体是被拖放元素, 在正在拖放被拖放元素时触发。
dragenter: 事件主体是目标元素, 在被拖放元素进入某元素时触发。
dragover: 事件主体是目标元素, 在被拖放在某元素内移动时触发。
dragleave: 事件主体是目标元素, 在被拖放元素移出目标元素是触发。
drop: 事件主体是目标元素, 在目标元素完全接受被拖放元素时触发。
dragend: 事件主体是被拖放元素, 在整个拖放操作结束时触发。
参考回答:
首先补充一下, http 和 https 的区别, 相比于 http,https 是基于 ssl 加密的 http 协议
简要概括: http2.0 是基于 1999 年发布的 http1.0 之后的首次更新。
提升访问速度 (可以对于, 请求资源所需时间更少, 访问速度更快, 相比 http1.0)
允许多路复用:多路复用允许同时通过单一的 HTTP/2 连接发送多重请求-响应信息。改 善了: 在 http1.1 中, 浏览器客户端在同一时间, 针对同一域名下的请求有一定数量限 制 (连接数量) , 超过限制会被阻塞。
二进制分帧:HTTP2.0 会将所有的传输信息分割为更小的信息或者帧,并对他们进行二 进制编码、首部压缩、服务器端推送。
参考回答:
(1)400 状态码: 请求无效
产生原因:
前端提交数据的字段名称和字段类型与后台的实体没有保持一致。
前端提交到后台的数据应该是 json 字符串类型, 但是前端没有将对象 JSON.stringify 转化成字符串。
解决方法:
对照字段的名称, 保持一致性,将 obj 对象通过 JSON.stringify 实现序列化。
(2)401 状态码: 当前请求需要用户验证
(3)403 状态码: 服务器已经得到请求, 但是拒绝执行
参考回答:
fetch 发送 post 请求的时候, 总是发送 2 次, 第一次状态码是 204, 第二次才成功?
原因很简单, 因为你用 fetch 的 post 请求的时候, 导致 fetch 第一次发送了一个 Options 请求,询问服务器是否支持修改的请求头,如果服务器支持,则在第二次中发送真正的 请求。
参考回答:
在 HTML 页面中,如果在执行脚本时,页面的状态是不可相应的,直到脚本执行完成后, 页面才变成可相应 。web worker 是运行在后台的 js, 独立于其他脚本, 不会影响页面你 的性能 。并且通过 postMessage 将结果回传到主线程 。这样在进行复杂操作的时候, 就 不会阻塞主线程了。
如何创建 web worker:
检测浏览器对于 web worker 的支持性
创建 web worker 文件 (js, 回传函数等)
创建 web worker 对象
参考回答:
HTML5 语义化标签是指正确的标签包含了正确的内容,结构良好,便于阅读, 比如nav 表示导航条, 类似的还有 article 、header 、footer 等等标签。
参考回答:
定义: iframe 元素会创建包含另一个文档的内联框架
提示: 可以将提示文字放在<iframe></iframe>之间, 来提示某些不支持 iframe 的浏览器 缺点: 会阻塞主页面的 onload 事件 搜索引擎无法解读这种页面, 不利于 SEO iframe 和主页面共享连接池, 而浏览器对相同区域有限制所以会影响性能。
参考回答:
Doctype 声明于文档最前面, 告诉浏览器以何种方式来渲染页面, 这里有两种模式, 严 格模式和混杂模式。
严格模式的排版和 JS 运作模式是 以该浏览器支持的最高标准运行。
混杂模式, 向后兼容, 模拟老式浏览器, 防止浏览器无法兼容页面。
参考回答:
XSS (跨站脚本攻击) 是指攻击者在返回的 HTML 中嵌入 javascript 脚本,为了减轻这些 攻击, 需要在 HTTP 头部配上, set-cookie:
httponly-这个属性可以防止 XSS,它会禁止 javascript 脚本来访问 cookie。
secure - 这个属性告诉浏览器仅在请求为 https 的时候发送 cookie。
结果应该是这样的: Set-Cookie=<cookie-value>.....
参考回答:
就是用URL 定位资源, 用 HTTP 描述操作。
参考回答:
可以参考这篇文章:
响应式布局的常用解决方案对比(媒体查询、百分比、rem 和 vw/vh)
参考回答:
(1)粗暴型, 禁用缩放
<meta name="viewport" content="width=device-width, user-scalable=no">(2)利用 FastClick, 其原理是:
检测到 touchend 事件后, 立刻出发模拟 click 事件, 并且把浏览器 300 毫秒之后真正出 发的事件给阻断掉。
参考回答:
addEventListener(event, function, useCapture)其中, event 指定事件名; function 指定要事件触发时执行的函数; useCapture 指定事件 是否在捕获或冒泡阶段执行。
参考回答:
100 Continue 继续 。客户端应继续其请求。
101 Switching Protocols 切换协议。服务器根据客户端的请求切换协议。只能切换到更 高级的协议, 例如, 切换到HTTP 的新版本协议。
200 OK 请求成功 。一般用于 GET 与 POST 请求。
201 Created 已创建 。成功请求并创建了新的资源。
202 Accepted 已接受 。 已经接受请求, 但未处理完成。
203 Non-Authoritative Information 非授权信息。请求成功。但返回的 meta 信息不在原 始的服务器, 而是一个副本。
204 No Content 无内容 。服务器成功处理, 但未返回内容 。在未更新网页的情况下, 可确保浏览器继续显示当前文档。
205 Reset Content 重置内容。服务器处理成功, 用户终端 (例如: 浏览器) 应重置文 档视图 。可通过此返回码清除浏览器的表单域。
206 Partial Content 部分内容 。服务器成功处理了部分 GET 请求。
300 Multiple Choices 多种选择。请求的资源可包括多个位置,相应可返回一个资源特 征与地址的列表用于用户终端 (例如: 浏览器) 选择。
301 Moved Permanently 永久移动。请求的资源已被永久的移动到新 URI,返回信息会 包括新的 URI,浏览器会自动定向到新 URI。今后任何新的请求都应使用新的 URI 代替。
302 Found 临时移动。与 301 类似。但资源只是临时被移动。客户端应继续使用原有 URI。
303 See Other 查看其它地址 。与 301 类似 。使用 GET 和 POST 请求查看。
304 Not Modified 未修改 。所请求的资源未修改, 服务器返回此状态码时, 不会返回 任何资源。客户端通常会缓存访问过的资源,通过提供一个头信息指出客户端希望只返 回在指定日期之后修改的资源。
305 Use Proxy 使用代理 。所请求的资源必须通过代理访问。
306 Unused 已经被废弃的 HTTP 状态码。
307 Temporary Redirect 临时重定向 。与 302 类似 。使用 GET 请求重定向。
400 Bad Request 客户端请求的语法错误, 服务器无法理解。
401 Unauthorized 请求要求用户的身份认证。
402 Payment Required 保留, 将来使用。
403 Forbidden 服务器理解请求客户端的请求, 但是拒绝执行此请求。
404 Not Found 服务器无法根据客户端的请求找到资源 (网页) 。通过此代码, 网站 设计人员可设置"您所请求的资源无法找到"的个性页面。
405 Method Not Allowed 客户端请求中的方法被禁止。
406 Not Acceptable 服务器无法根据客户端请求的内容特性完成请求。
407 Proxy Authentication Required 请求要求代理的身份认证, 与 401 类似, 但请求者 应当使用代理进行授权。
408 Request Time-out 服务器等待客户端发送的请求时间过长, 超时。
409 Conflict 服务器完成客户端的 PUT 请求是可能返回此代码,服务器处理请求时发 生了冲突。
410 Gone 客户端请求的资源已经不存在。410 不同于 404,如果资源以前有现在被永 久删除了可使用410 代码, 网站设计人员可通过 301 代码指定资源的新位置。
411 Length Required 服务器无法处理客户端发送的不带 Content-Length 的请求信息。
412 Precondition Failed 客户端请求信息的先决条件错误。
413 Request Entity Too Large 由于请求的实体过大,服务器无法处理, 因此拒绝请求。 为防止客户端的连续请求,服务器可能会关闭连接。如果只是服务器暂时无法处理,则 会包含一个 Retry-After 的响应信息。
414 Request-URI Too Large 请求的 URI 过长 ( URI 通常为网址) , 服务器无法处理。
415 Unsupported Media Type 服务器无法处理请求附带的媒体格式。
416 Requested range not satisfiable 客户端请求的范围无效。
417 Expectation Failed 服务器无法满足 Expect 的请求头信息。
500 Internal Server Error 服务器内部错误, 无法完成请求。
501 Not Implemented 服务器不支持请求的功能, 无法完成请求。
502 Bad Gateway 作为网关或者代理工作的服务器尝试执行请求时, 从远程服务器接 收到了一个无效的响应。
503 Service Unavailable 由于超载或系统维护,服务器暂时的无法处理客户端的请求。 延时的长度可包含在服务器的 Retry-After 头信息中。
504 Gateway Time-out 充当网关或代理的服务器, 未及时从远端服务器获取请求。
505 HTTP Version not supported 服务器不支持请求的 HTTP 协议的版本, 无法完成处 理。
参考回答:
协议头 | 说明 |
Accept | 可接受的响应内容类型 (Content-Types) 。 |
Accept-Charset | 可接受的字符集。 |
Accept-Encoding | 可接受的响应内容的编码方式。 |
Accept-Language | 可接受的响应内容语言列表。 |
Accept-Datetime | 可接受的按照时间来表示的响应内容版本。 |
Authorization | 用于表示 HTTP 协议中需要认证资源的认证信息。 |
Cache-Control | 用来指定当前的请求/回复中的, 是否使用缓存机制。 |
Connection | 客户端 (浏览器) 想要优先使用的连接类型。 |
Cookie | 由之前服务器通过 Set-Cookie(见下文)设置的一个 HTTP 协议 Cookie。 |
Content-Length | 以 8 进制表示的请求体的长度。 |
Content-MD5 | 请求体的内容的二进制 MD5 散列值 (数字签名) , 以 Base64 编码的结果。 |
Content-Type | 请求体的 MIME 类型 (用于 POST 和 PUT 请求中)。 |
Date | 发送该消息的日期和时间 (以RFC 7231中定义的"HTTP 日期"格式 来发送)。 |
Expect | 表示客户端要求服务器做出特定的行为。 |
From | 发起此请求的用户的邮件地址。 |
Host | 表示服务器的域名以及服务器所监听的端口号 。如果所请求的端口 是对应的服务的标准端口 ( 80) , 则端口号可以省略。 |
If-Match | 仅当客户端提供的实体与服务器上对应的实体相匹配时, 才进行对应的操作 。主要用于像 PUT 这样的方法中, 仅当从用户上次更新 某个资源后, 该资源未被修改的情况下, 才更新该资源。 |
If-Modified-Since | 允许在对应的资源未被修改的情况下返回304 未修改 |
If-None-Match | 允许在对应的内容未被修改的情况下返回304 未修改 ( 304 Not Modified ) , 参考 超文本传输协议 的实体标记 |
If-Range | 如果该实体未被修改过, 则向返回所缺少的那一个或多个部分 。否 则, 返回整个新的实体。 |
If-Unmodified-Since | 仅当该实体自某个特定时间以来未被修改的情况下, 才发送回应。 |
Max-Forwards | 限制该消息可被代理及网关转发的次数。 |
Origin | 发起一个针对跨域资源共享的请求 (该请求要求服务器在响应中加入一个 Access-Control-Allow-Origin 的消息头,表示访问控制所允许 的来源) 。 |
Pragma | 与具体的实现相关, 这些字段可能在请求/回应链中的任何时候产 生。 |
Proxy-Authorization | 用于向代理进行认证的认证信息。 |
Range | 表示请求某个实体的一部分, 字节偏移以 0 开始。 |
Referer | 表示浏览器所访问的前一个页面, 可以认为是之前访问页面的链接将浏览器带到了当前页面。Referer 其实是 Referrer 这个单词,但 RFC 制作标准时给拼错了, 后来也就将错就错使用 Referer 了。 |
TE | 浏览器预期接受的传输时的编码方式: 可使用回应协议头 Transfer-Encoding 中的值 (还可以使用"trailers"表示数据传输时的分 块方式) 用来表示浏览器希望在最后一个大小为 0 的块之后还接收到一些额外的字段。 |
User-Agent | 浏览器的身份标识字符串。 |
Upgrade | 要求服务器升级到一个高版本协议。 |
Via | 告诉服务器, 这个请求是由哪些代理发出的。 |
Warning | 一个一般性的警告, 表示在实体内容体中可能存在错误。 |
参考回答:
缓存分为两种: 强缓存和协商缓存, 根据响应的header 内容来决定。
获取资源形式 | 状态码 | 发送请求到服务器 | |
强缓存 | 从缓存取 | 200 (from cache) | 否, 直接从缓存取 |
协商缓存 | 从缓存取 | 304 (not modified) | 是,通过服务器来告知缓存是否可 用 |
强缓存相关字段有 expires, cache-control 。如果 cache-control 与 expires 同时存在的话, cache-control 的优先级高于 expires。
协商缓存相关字段有 Last-Modified/If-Modified-Since, Etag/If-None-Match。
参考回答:
304:如果客户端发送了一个带条件的 GET 请求且该请求已被允许,而文档的内容 (自 上次访问以来或者根据请求的条件) 并没有改变, 则服务器应当返回这个 304 状态码。
参考回答:
因为服务器上的资源不是一直固定不变的,大多数情况下它会更新,这个时候如果我们 还访问本地缓存,那么对用户来说,那就相当于资源没有更新,用户看到的还是旧的资 源;所以我们希望服务器上的资源更新了浏览器就请求新的资源,没有更新就使用本地 的缓存, 以最大程度的减少因网络请求而产生的资源浪费。
参考 https://segmentfault.com/a/1190000008956069
参考回答:
降低请求量: 合并资源, 减少 HTTP 请求数, minify / gzip 压缩, webP, lazyLoad。
加快请求速度: 预解析 DNS, 减少域名数, 并行加载, CDN 分发。
缓存: HTTP 协议缓存请求, 离线缓存 manifest, 离线数据缓存 localStorage。
渲染: JS/CSS 优化, 加载顺序, 服务端渲染, pipeline。
TML 中使用 <input> 元素表示单行输入框和 <textarea> 元素表示多行文本框。
HTML中使用的 <input> 元素在 JavaScript 中对应的是 HTMLInputElement 类型。HTMLInputElement 继承自 HTMLElement 接口:
interface HTMLInputElement extends HTMLElement {
...
}HTMLInputElement 类型有一些独有的属性和方法:
而在上述介绍 HTMLInputElement 类型中的属性时,type 属性要特别关注一下,因为根据 type 属性的改变,可以改变<input>的属性。
类型 | 描述 |
text | 文本输入 |
password | 密码输入 |
submit | 表单数据提交 |
button | 按钮 |
radio | 单选框 |
checkbox | 复选框 |
file | 文件 |
hidden | 隐藏的字段 |
image | 定义图像作为提交按钮 |
reset | 重置按钮 |
省略 type 属性与 type="text"效果一样, <input> 元素显示为文本框。
当 type 的值为text/password/number/时,会有以下属性对 <input> 元素有效。
属性 | 类型 | 描述 |
autocomplete | string | 字符串on或off,表示<input>元素的输入内容可以被浏览器自动补全。 |
maxLength | long | 指定<input>元素允许的最多字符数。 |
size | unsigned long | 表示<input>元素的宽度,这个宽度是以字符数来计量的。 |
pattern | string | 表示<input>元素的值应该满足的正则表达式 |
placeholder | string | 表示<input>元素的占位符,作为对元素的提示。 |
readOnly | boolean | 表示用户是否可以修改<input>的值。 |
min | string | 表示<input>元素的最小数值或日期。 |
max | string | 表示<input>元素的最大数值或日期。 |
selectionStart | unsigned long | 表示选中文本的起始位置。如果没有选中文本,返回光标在<input>元素内部的位置。 |
selectionEnd | unsigned long | 表示选中文本的结束位置。如果没有选中文本,返回光标在<input>元素内部的位置。 |
selectionDirection | string | 表示选中文本的方向。可能的值包括forward、backward、none。 |
下面创建一个 type="text" ,一次显示 25 个字符,但最多允许显示 50 个字符的文本框:
<input type="text" size="25" maxlength="50" value="initial value">HTML 使用的 <textarea> 元素在 JavaScript 中对应的是 HTMLTextAreaElement 类型。HTMLTextAreaElement类型继承自 HTMLElement 接口:
interface HTMLTextAreaElement extends HTMLElement {
...
}HTMLTextAreaElement 类型有一些独有的属性和方法:
下面创建一个高度为 25,宽度为 5 的 <textarea> 多行文本框。它与 <input> 不同的是,初始值显示在 <textarea>...</textarea> 之间:
<textarea rows="25" cols="5">initial value</textarea>注意:处理文本框值的时候最好不要使用 DOM 方法,而应该使用 value 属性。
<input> 与 <textarea> 都支持 select() 方法,该方法用于选中文本框中的所有内容。该方法的语法为:
select(): void下面看一个示例:
let textbox = document.forms[0].elements["input-box"];
textbox.select();也可以在文本框获得焦点时,选中文本框的内容:
textbox.addEventListener("focus", (event) => {
event.target.select();
});当选中文本框中的文本或使用 select() 方法时,会触发 select 事件。
let textbox = document.forms[0].elements["textbox1"];
textbox.addEventListener("select", (event) => {
console.log(`Text selected: ${textbox.value}`);
});HTML5 对 select 事件进行了扩展,通过 selectionStart 和 selectionEnd 属性获取文本选区的起点偏移量和终点偏移量。如下所示:
function getSelectedText(textbox){
return textbox.value.substring(textbox.selectionStart,
textbox.selectionEnd);
}注意:在 IE8 及更早版本不支持这两个属性。
HTML5 提供了 setSelectionRange() 方法用于选中部分文本:
setSelectionRange(start, end, direction): void;下面看一个例子:
<input type="text" id="text-sample" size="20" value="Hello World!">
<button onclick="selectText()">选中部分文本</button>
<script>
function selectText() {
let input = document.getElementById("text-sample");
input.focus();
input.setSelectionRange(4, 8); // o Wo
}
</script>如果想要看到选中效果,必须让文本框获得焦点。
不同文本框经常需要保证输入特定类型或格式的数据,或许数据需要包含特定字符或必须匹配某个特定模式。而文本框并未提供验证功能,因此要配合 JavaScript 脚本实现输入过滤功能。
有些输入框需要出现或不出现特定字符。如果想要将输入框变成只读的,只需要使用 preventDefault()方法将按键都屏蔽:
input.addEventListener("keypress", (event) => {
event.preventDefault();
});而要屏蔽特定字符,就需要检查事件的 charCode 属性。如下所示,使用正则表达式实现只允许输入数字的输入框:
input.addEventListener("keypress", (event) => {
if (!/\d/.test(event.key)) {
event.preventDefault();
}
});还有一个问题需要处理:复制、粘贴及涉及Ctrl 键的其他功能。在除IE 外的所有浏览器中,前面代码会屏蔽快捷键Ctrl+C、Ctrl+V 及其他使用Ctrl 的组合键。因此,最后一项检测是确保没有按下Ctrl键,如下面的例子所示:
textbox.addEventListener("keypress", (event) => {
if (!/\d/.test(String.fromCharCode(event.charCode)) &&
event.charCode > 9 &&
!event.ctrlKey){
event.preventDefault();
}
});最后这个改动可以确保所有默认的文本框行为不受影响。这个技术可以用来自定义是否允许在文本框中输入某些字符。
IE 是第一个实现了剪切板相关的事件以及通过JavaScript访问剪切板数据的浏览器,其它浏览器在后来也都支持了相同的事件和剪切板的访问,后来 HTML5 将其纳入了规范。以下是与剪切板相关的 6 个事件:
剪切板事件的行为及相关对象会因浏览器而异。在 Safari、Chrome 和 Firefox 中,beforecopy、beforecut 和 beforepaste 事件只会在显示文本框的上下文菜单时触发,但 IE 不仅在这种情况下触发,也会在 copy、cut 和 paste 事件在所有浏览器中都会按预期触发。
在实际的事件发生之前,通过beforecopy、beforecut 和 beforepaste 事件可以在向剪贴板发送或从中检索数据前修改数据。不过,取消这些事件并不会取消剪贴板操作。要阻止实际的剪贴板操作,必须取消 copy、cut和 paste 事件。
剪贴板的数据通过 clipboardData 对象来获取,且clipboardData 对象提供 3 个操作数据的方法:
而 clipboardData 对象在 IE 中使用 window 获取,在 Firefox、Safari 和 Chrome 中使用 event 获取。为防止未经授权访问剪贴板,只能在剪贴板事件期间访问 clipboardData 对象;IE 会在任何时候都暴露 clipboardData 对象。因此,要兼容两者,最好在剪贴板事件期间使用该对象。
function getClipboardText(event){
var clipboardData = (event.clipboardData || window.clipboardData);
return clipboardData.getData("text");
}
function setClipboardText (event, value){
if (event.clipboardData){
return event.clipboardData.setData("text/plain", value);
} else if (window.clipboardData){
return window.clipboardData.setData("text", value);
}
}如果文本框只有数字,那剪贴时,就需要使用paste事件检查剪贴板上的文本是否无效。如果无效,可以取消默认行为:
input.addEventListener("paste", (event) => {
let text = getClipboardText(event);
if (!/^\d*$/.test(text)){
event.preventDefault();
}
});注意:Firefox、Safari和Chrome只允许在onpaste事件中访问getData()方法。
在 JavaScript 中,可以用在当前字段完成时自动切换到下一个字段的方式来增强表单字段的易用性。比如,常用手机号分为国家好加手机号。因此,我们设置 2 个文本框:
<form>
<input type="text" name="phone1" id="phone-id-1" maxlength="4">
<input type="text" name="phone2" id="phone-id-2" maxlength="11">
</form>当文本框输入到最大允许字符数后,就把焦点移到下一个文本框,这样可以增加表单的易用性并加速数据输入。如下所示:
<script>
function tabForward(event){
let target = event.target;
if (target.value.length == target.maxLength){
let form = target.form;
for (let i = 0, len = form.elements.length; i < len; i++) {
if (form.elements[i] == target) {
if (form.elements[i+1]) {
form.elements[i+1].focus();
}
return;
}
}
}
}
let inputIds = ["phone-id-1", "phone-id-2"];
for (let id of inputIds) {
let textbox = document.getElementById(id);
textbox.addEventListener("keyup", tabForward);
}
</script>这里,tabForward() 函数通过比较用户输入文本的长度与 maxLength 属性的值来检测输入是否达到了最大长度。如果两者相等,就通过循环表中的元素集合找到当前文本框,并把焦点设置到下一个元素。
注意:上面的代码只适用于之前既定的标记,没有考虑可能存在的隐藏字段。
HTML5 新增了一些表单提交前,浏览器会基于指定的规则进行验证,并在出错时显示适当的错误信息。而验证会基于某些条件应用到表单字段中。
表单字段中添加 required 属性,用于标注该字段是必填项,不填则无法提交。该属性适用于<input>、<textarea>和<select>。如下所示:
<input type="text" name="account" required>也可以通过 JavaScript 检测对应元素的 required 属性来判断表单字段是否为必填项:
let isRequired = document.forms[0].elements["account"].required;也可以检测浏览器是否支持 required 属性:
let isRequiredSupported = "required" in document.createElement("input");注意:不同浏览器处理必填字段的机制不同。Firefox、Chrome、IE 和Opera 会阻止表单提交并在相应字段下面显示有帮助信息的弹框,而Safari 什么也不做,也不会阻止提交表单。
HTML5 为 <input> 元素增加了几个新的 type 值。如下所示:
类型 | 描述 |
number | 数字值的输入 |
date | 日期输入 |
color | 颜色输入 |
range | 一定范围内的值的输入 |
month | 允许用户选择月份和年份 |
week | 允许用户选择周和年份 |
time | 允许用户选择时间(无时区) |
datetime | 允许用户选择日期和时间(有时区) |
datetime-local | 允许用户选择日期和时间(无时区) |
电子邮件地址的输入 | |
search | 搜索(表现类似常规文本) |
tel | 电话号码的输入 |
url | URL地址的输入 |
这些输入表名字段应该输入的数据类型,并且提供了默认验证。如下所示:
<input type="email" name="email">
<input type="url" name="homepage">要检测浏览器是否支持新类型,可以在 JavaScript 中创建 <input> 并设置 type 属性,之后读取它即可。老版本中会将我只类型设置为 text,而支持的会返回正确的值。如下所示:
let input = document.createElement("input");
input.type = "email";
let isEmailSupported = (input.type == "email");而上面介绍的几个如 number/range/datetime/datetime-local/date/month/week/time 几个填写数字的类型,都可以指定 min/max/step 等几个与数值有关的属性。step 属性用于规定合法数字间隔,如 step="2",则合法数字应该为 0、2、4、6,依次类推。如下所示:
<input type="number" min="0" max="100" step="5" name="count">上面的例子是<input>中只能输入从 0 到 100 中 5 的倍数。
也可以使用 stepUp() 和 stepDown() 方法对 <input> 元素中的值进行加减,它俩会接收一个可选参数,用于表示加减的数值。如下所示:
input.stepUp(); // 加1
input.stepUp(5); // 加5
input.stepDown(); // 减1
input.stepDown(10); // 减10HTML5 还为文本添加了 pattern 属性,用于指定一个正则表达式。这样就可以自己设置 <input> 元素的输入模式了。如下所示:
<input type="text" pattern="\d+" name="count">注意模式的开头和末尾分别假设有^和$。这意味着输入内容必须从头到尾都严格与模式匹配。
与新增的输入类型一样,指定 pattern 属性也不会阻止用户输入无效内容。模式会应用到值,然后浏览器会知道值是否有效。通过访问 pattern 属性可以读取模式:
let pattern = document.forms[0].elements["count"].pattern;使用如下代码可以检测浏览器是否支持pattern 属性:
let isPatternSupported = "pattern" in document.createElement("input");HTML5 新增了 checkValidity() 方法,用来检测表单中任意给定字段是否有效。而判断的条件是约束条件,因此必填字段如果没有值会被视为无效,字段值不匹配 pattern 属性也会被视为无效。如下所示:
if (document.forms[0].elements[0].checkValidity()){
// 字段有效,继续
} else {
// 字段无效
}要检查整个表单是否有效,可以直接在表单上调用checkValidity()方法。这个方法会在所有字段都有效时返回true,有一个字段无效就会返回false:
if(document.forms[0].checkValidity()){
// 表单有效,继续
} else {
// 表单无效
}validity 属性会返回一个ValidityState 对象,表示 <input> 元素的校验状态。返回的对象包含一些列的布尔值的属性:
因此,通过 validity 属性可以检查表单字段的有效性,从而获取更具体的信息,如下所示:
if (input.validity && !input.validity.valid){
if (input.validity.valueMissing){
console.log("请指定值.")
} else if (input.validity.typeMismatch){
console.log("请指定电子邮件地址.");
} else {
console.log("值无效.");
}
}通过指定 novalidate 属性可以禁止对表单进行任何验证:
<form method="post" action="/signup" novalidate>
<!-- 表单元素 -->
</form>也可以在 JavaScript 通过 noValidate 属性设置,为 true 表示属性存在,为 false 表示属性不存在:
document.forms[0].noValidate = true; // 关闭验证如果一个表单中有多个提交按钮,那么可以给特定的提交按钮添加formnovalidate 属性,指定通过该按钮无需验证即可提交表单:
<form method="post" action="/foo">
<!-- 表单元素 -->
<input type="submit" value="注册提交">
<input type="submit" formnovalidate name="btnNoValidate"
value="没有验证的提交按钮">
</form>也可以使用 JavaScript 设置 formNoValidate 属性:
// 关闭验证
document.forms[0].elements["btnNoValidate"].formNoValidate = true;以上总结了 <input> 和 <textarea> 两个元素的一些功能,主要是 <input> 元素可以通过设置 type 属性获取不同类型的输入框,可以通过监听键盘事件并检测要插入的字符来控制文本框的内容。
还有一些与剪贴板相关的事件,并对剪贴的内容进行检测。还介绍了一些 HTML5 新增的属性和方法和新增的更多的 <input> 元素的类型,和一些与验证相关的属性和方法。
源:计算机世界
前几天一则“微软允许员工永久在家办公”的消息刷爆朋友圈,无独有偶,Facebook正在将数万个工作岗位转移到远程工作上。由于新冠疫情的影响,线上会议、线上办公已经成为了部分企业的常态。根据Akamai智能边缘平台的监测,疫情期间网络流量出现大幅增长,平均增幅达30%左右,而往年这一数据仅有3%。
与此同时,网络攻击风险也随之增加。社交、视频、聊天及游戏行业的流量激增情况较为突出,恶意攻击流量约有4倍的增幅。那么,企业如何利用智能边缘保证业务和数据的安全性?
疫情期间网络攻击频发
6月初,Akamai平台监测到一起超大规模的DDoS攻击,攻击流量高达1.44 Tbps,这是Akamai平台监测到的自2018年GitHub遭受1.3 Tbps流量攻击以来的又一次历史新高。该起攻击发生后不久,Akamai平台再次监测到一起每秒高达8.09亿个数据包的DDoS攻击。
此外,Akamai还监测到一起针对金融服务行业的DDoS攻击,攻击者通过给攻击目标发邮件,去勒索比特币。所幸,该攻击被Akamai智能边缘平台监测到并成功化解。目前,该种攻击正慢慢向金融服务行业以外的游戏、媒体等其他行业发展。
从DDoS整个发展趋势而言,Akamai发现其规模越来越大,且形式越发复杂。于UDP Flood、SYN Flood这种单一的攻击模式目前越来越少,而比如网络层攻击、应用层攻击、反射性攻击以及分片式攻击等组合攻击方式却层出不穷。
Web应用层攻击的增长也非常迅速。随着数字化转型的推进,应用层的应用数量通常超100个。这种情况之下,不同的应用使用的组件和技术会越发复杂。结果就是,使用开源代码、第三方脚本、下一代HTML语言或API接口等方式,都使得网站越来越脆弱,暴露的受攻击点越来越多。
撞库攻击方也在发生变化。据Akamai监测,在2020年第一季度,针对欧洲视频服务提供商和广播公司的恶意登录尝试大幅增加。在众多隔离措施开始施行后,3月下旬的一起针对单一服务提供商的攻击在24小时内共发起了近3.5亿次登录尝试。很多犯罪分子会将相同帐户与不同应用的凭证信息进行合并,合并后形成一个凭证集合,随后进行深度训练,从而获取更多客户的凭证信息,最终得到一个整体的客户画像、在黑产市场获取更大利润。Akamai的研究人员观察到,在整个第一季度中,被盗帐户凭据一开始的交易价格约为1到5美元,涵盖多种服务的套餐交易价格为10到45美元。
如何利用边缘网络守住安全防线?
万物互联(IoE)和人工智能等技术的发展已将数据和计算的重心从核心转移到边缘。在边缘侧进行数据分析,可以改善企业整体的敏捷性,以及战略和运营决策。由于海量数据是在传统的数据中心之外创建,因此云将延伸至边缘。未来不是云与边缘的对抗,而是云和边缘的共生,原有的架构也会发生变化。
随着多云环境、混合云环境的使用,云端的安全策略很难统一。当企业随云迁移的时候,安全策略是不是可以迁移?安全防护是不是可以迁移?现在很多应用在云端可以弹性化拓展,这也要求安全服务能够有弹性扩展防护能力。
Gartner预计2025年至少有约一半的企业采用边缘化的安全架构。
Akamai的边缘安全是数字化转型中的保护伞,它很好地利用了自身网络边缘以及流量边缘的优势,在网络边缘处对各种各样的攻击流量进行识别。Akamai采用分层的安全防护体系,目前,该防护体系包括DDoS防护、爬虫攻击的检测和防护以及API防护等,企业可以缓解各种类型和规模的攻击流量。除分层的边缘安全防护体系外,Akamai还具备基于用户身份识别和管理的服务、基于零信任的远程访问,以及网关类检测等防护功能。
对于Akamai的边缘安全领域的差异化优势,Akamai区域副总裁暨大中华区总经理李昇说:“首先,从边缘的特点来说,Akamai高度分布的架构是最大的差异化优势。另外,Akamai的优势还在于安全,这并不局限于技术范畴,还有叠加信息的丰富性。Akamai有原生优势,因为我们承载了互联网很大部分流量,对于攻击行为有丰富的洞见。基于丰富的洞见,Akamai把知识图谱输入到产品的设计和功能中。”
Akamai区域副总裁暨大中华区总经理李昇
如今,大家对边缘化能力的提升有了越来越高的期待,一些大的云计算厂商也在推广这一个概念,使得他们扩充和弥补自己在分布式节点上的能力。
Akamai则是从另外一个方向来满足企业在这方面的期待。李昇表示,除了传统的CDN分发,Akamai还将在物联网等层面不停地叠加边缘逻辑处理能力。在提升业务处理能力的同时,做好边缘安全防护。
去年,Akamai委托Forrester进行了一项总体经济影响(Total Economic Impact)研究,以了解企业通过部署Akamai边缘安全产品可能获得的收益。“在使用Akamai边缘安全产品之前,受访客户的挑战通常是如何缩短受到恶意攻击时的宕机时间、如何避免数据泄露和账户被盗等风险,对有效的安全方案保护收入和品牌信誉以及简化、高性价比的IT安全环境提出要求。在应用了Akamai边缘安全产品以后,客户的主要成果就是在于成本是否降低,收入是否有提升。“Akamai大中华区产品市场经理刘炅说。
Akamai大中华区产品市场经理刘炅
根据报告,除了上述量化收益,受访客户还谈到了使用Akamai边缘安全产品获得的非量化收益,包括:网站受到攻击时的表现得以改善。部署Akamai产品前后,网站受到攻击时的预计加载时间分别为101.7毫秒和70毫秒;客户流失率降低了5.88%,而跳出率下降了11.8%;点击率有所提高,转化率提高了6.3%,客户满意度也得以提升。
最后就是灵活性的分析。受访客户表示他们可以从多个公共云提供商中进行选择,而不必局限于一家云提供商。他们可以在前端部署Akamai边缘安全产品,通过一种独立于云服务商的方式提供安全服务。选择云提供商的能力提高了定价和服务的灵活性。
总计而言,疫情之下,企业对边缘安全的需求更加迫切。Akamai的边缘安全产品以期节点广、层次多、灵活性高的优势可以保证企业整体的安全策略以及防护的统一性。
*请认真填写需求信息,我们会在24小时内与您取得联系。
