如果将document.domain设置为wrox.com之后,就不能再将其设置回p2p.wrox.com,否则将会导致错误。
使用innerText/innerHTML/outerText/outerHTML替换子节点可能会导致浏览器的内存问题,尤其是在IE中。最好先手工移除被删除子树中的事件处理程序及javascript对象属性。
addEventListener,最好将事件处理程序添加到事件流的冒泡阶段,可以最大限度的兼容浏览器。
添加到页面上的事件处理程序数量将直接关系到页面的整体运行性能。
CSRF 未被授权的系统伪装自己,让服务器认为它是合法的,从而获取某个资源。可选的方案:1)SSL连接;2)每次请求均附验证码。无效的方案:1)用POST而非GET;2)检查来源URL;3)验证cookie。
如果某个域的资源并没有允许访问,javascript就不应该能够请求该域中的资源。js默认只能访问包含它的页面的同一个域下的资源。
跨域请求和响应中不应携带cookie,且要确保未经授权无法访问相应资源。
访问内部资源时用相对url,访问远程资源时用绝对url。
json解析很快,但是eval()比较危险,需要对传给eval的参数进行检查,避免恶意内容XSS的攻击。
同源策略:相同的域,相同的端口,相同的协议
cookie数据并非存储在一个安全环境中,其中包含的任何数据都可以被他人访问。
不要在客户端机器用javascript存储敏感数据,因为数据缓存并不加密。
避免创建多个全局变量和函数,使用命名空间。
最小化现场更新,即,最小化对用户的显示进行更新,可以使用文档碎片createDocumentFragment。
HTML跨文档消息传递,用于支持不同域名的文档通信;不允许对另一个文档的DOM和相关信息直接访问,但允许发送和接收包含数据的消息。
没有评论:
发表评论