js今日小结—Ajax、前端安全、GET&POST、闭包、HTTPS

HTTPS

HTTP+加密（SSL、TLS）+认证+完整性保护 = HTTPS；

GET和POST的区别

• get拉取数据，post传输数据
• get请求能被浏览器主动缓存，post不会（除非手动）
• get请求在URL中传送的参数是有长度限制的
• get请求参数在URL中传递，post在request body中传递
• get请求参数会保留在浏览器历史记录里面
• get请求在浏览器回退上无影响，post会再次请求一次

闭包、闭包缺点

优势：

1. 保护函数内的变量安全,增强了封装性
2. 在内存中维持一个变量(用的太多就变成了缺点，占内存)
3. 方便调用上下文的局部变量。
4. 逻辑连续，当闭包做为另外一个函数调用的参数时，避免你脱离当前逻辑而单独编写额外逻辑。

缺点：

1. 返回闭包的函数是个很是大的函数。
2. 常驻内存，会增大内存使用量，使用不当很容易形成内存泄露。
3. 内存浪费问题，无效内存的产生。

注意：

1. 因为闭包会使得函数中的变量都被保存在内存中，内存消耗很大，因此不能滥用闭包，不然会形成网页的性能问题，在IE中可能致使内存泄露。
2. 解决方法是，在退出函数以前，将不使用的局部变量所有删除。

Ajax特色以及优缺点

优势：

1. 页面无刷新，在页面内与服务器通讯，给用户的体验很是好。
2. 使用异步方式与服务器通讯，不须要打断用户的操做，具备更加迅速的响应能力。
3. ajax的原则是“按需取数据”，能够最大程度的减小冗余请求，和响应对服务器形成的负担。
4. 基于标准化的并被普遍支持的技术，不须要下载插件或者小程序。

缺点：

1. ajax干掉了back按钮，即对浏览器后退机制的破坏。后退按钮是一个标准的web站点的重要功能，可是它无法和js进行很好的合做。（，在Gmail下面是能够后退的，可是，它也并不能改变ajax的机制，它只是采用的一个比较笨可是有效的办法，即用户单击后退按钮访问历史记录时，经过建立或使用一个隐藏的IFRAME来重现页面上的变动。）
2. 安全问题：ajax技术就如同对企业数据创建了一个直接通道。这使得开发者在不经意间会暴露比之前更多的数据和服务器逻辑。
3. 对搜索引擎的支持比较弱；
4. 破坏了程序的异常机制。

前端安全

• XSS：（cross-site scripting）跨域脚本攻击；
  原理：，不需登陆验证，向页面注入js脚本，让你的js脚本执行有误；
  解决：(1)经过set-cookie的HTTPonly属性来加以限制，使得cookie不被JavaScript脚本访问到；（2）输入检查：验证，特殊字符过滤掉；（3）输出检查。
• CRSF：（cross-siterequest forgery）跨站资源伪造；
  原理：以用户注册登陆了A网站，A网站给他一个cookie，当该用户访问B网站时，B网站给用户一个引诱点击，使得该用户点击进入A网站。（用户在网站登陆过，或者网站有漏洞）；
  解决：（1）Token验证；（2）Referer验证（页面来源）；（3）隐藏令牌（与Token相似，Token隐藏在http头中）

JavaScript做用域类型（全局做用域、函数做用域、块级做用域）；

• 全局变量：声明在函数外部的变量（全部没有var直接赋值的变量都属于全局变量）；
• 局部变量：声明在函数内部的变量（全部没有var直接赋值的变量都属于全局变量）
  vari=100;//显式申明
  i=100;//隐式申明
  在函数中使用var关键字进行显式申明的变量是作为局部变量，而没有用var关键字，使用直接赋值方式声明的是全局变量。　
• 全局变量在整个上下文都有效只是在没有赋值以前调用，会输出undefined
• 函数做用域是针对局部变量来讲的，在函数中定义的变量在函数外不能获取
• JavaScript有没有块级做用域；
  js中没有块级做用域，可是能够用闭包实现相似功能。