巩固ajax
大约 2 分钟
Ajax是什么,如何创建一个Ajax
使用ajax原生方式发送请求主要通过XMLHttpRequest、ActiveXObject(IE浏览器)对象实现异步通信效果
var xhr = null
if (window.XMLHttpRequest) {
xhr = new XMLHttpRequest()
} else {
xhr = new ActiveXObject('Microsoft.XMLHTTP')
}
xhr.open('方式', '地址', '标志位')
xhr.setRequestHeader('', '')
xhr.onreadystatechange = function () {}
xhr.send()
http 常见的状态码有哪些
- 200-请求成功
- 301-资源(网页等)被永久转移到其他 URL
- 404-请求的资源(网页等)不存在
- 500-内部服务器错误
ajax 的请求步骤
get 请求:
- 创建
xml - 准备发送
xhr.open("get","地址?...",true)
- 执行发送
xhr.send(null)
- 执行回调函数
xhr.onreadystatechange = function () {}
post 请求:
- 创建
xml - 准备发送
xhr.open("post","地址",true)
- 设置请求头(不需要去记忆固定写法)
xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded')
- 执行发送
xhr.send(param)
- 执行回调函数
xhr.onreadystatechange = function () {}
理解xss,csrf,ddos攻击原理以及避免方式
XSS(Cross-Site Scripting,跨站脚本攻击)是一种代码注入攻击。攻击者在目标网站上注入恶意代码,当被攻击者登陆网站时就会执行这些恶意代码,这些脚本可以读取cookie,session tokens,或者其它敏感的网站信息,对用户进行钓鱼欺诈,甚至发起蠕虫攻击等。CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。DDoS(Distributed Denial of Service)又叫分布式拒绝服务,其原理就是利用大量的请求造成资源过载,导致服务不可用。
XSS避免方式:
url参数使用encodeURIComponent方法转义- 尽量不是有
InnerHtml插入HTML内容 - 使用特殊符号、标签转义符。
CSRF避免方式:
- 添加验证码
- 使用
token
- 服务端给用户生成一个
token,加密后传递给用户 - 用户在提交请求时,需要携带这个
token - 服务端验证
token是否正确
DDos避免方式:
- 限制单 IP 请求频率。
- 防火墙等防护设置禁止 ICMP 包等
- 检查特权端口的开放