2019-10-18看这篇幅,专栏应该会在浏览器安全中结束。从二十五讲开始就觉得越来越浅显了,前面好几篇说的后面章节再详细讲解的部分好像并没有出现。作者回复:
是的,有几个原因:
第一、每篇文章有death line的,越到后面时间越赶,所以完成每篇文章的时间就越来越紧凑了。
第二、浏览器这块要讲的东西比较多,有架构,JavaScript,页面,网络和安全,还有一些H5的内容。
所以当初在定目录的时候,主干36篇课程主要讲主线内容,要照顾广度,所以有些细节不能深入太多。比如提到CSP和CORS在主干课程中没办法讲的太细。
当然,这些原因并不是不把内容讲透的借口,接下来,我把会把很多深度内容放到加餐和答疑部分:
比如有老铁问事件循环中采用while会不会造成页面卡死的问题?这里我到时会补充介绍系统事件驱动机制,还会结合事件循环机制来介绍Performance。
还有很多老铁问到UI线程,所以这块我还要结合浏览器进程和网络进程来补充相关知识!
稍晚点就要着手准备加餐内容大纲了。 14
2019-10-17希望老师能详细的讲解,最近几讲,感觉讲的太浅显了,都是些概念性的东西作者回复: 的确,篇幅有限,讲太细了广度照顾不到!
我先还是搭建整体的体系框架,涉及到细节内容我们答疑来补!
感觉我是在给自己挖个大坑,要补的内容感觉都能出一个小专栏了 14- 2019-10-25同源策略、CSP 和 CORS 之间的关系:
同源策略就是说同源页面随你瞎搞,但是不同源之间想瞎搞只能通过浏览器提供的手段来搞
比如说
1. 读取数据和操作 DOM 要用跨文档机制
2. 跨域请求要用 CORS 机制
3. 引用第三方资源要用 CSP展开作者回复: 总结的很好
7 
2019-11-19老师总结的非常好,具体的细节我们可以自己查资料。
但是在我们学习过程中发现,现在网上文章质量参差不齐,想找到一篇好文章很不容易。比如某金,文章多而杂,往往是看完了感觉没什么收获,也消耗了耐心和精力。
针对这种情况,我们该怎么半呢?作者回复: 关于浏览器的介绍网上资料好的的确不多,写这个专栏的时候也查阅了很多网上的资料,但是总体上质量都不怎么行,而且有些作者的理解也不正确错误!
另外网上的资料也谁零碎、不成体系的!
如果自己去啃源码会花费很大精力!
所以极客时间的gray找到我的时候,我觉得来做浏览器专栏很有必要,因为浏览器应用已经非常广的,而市面上体系化介绍浏览器的书籍或者文章少之又少!
如果你想深入了解,这里我推荐去看一些官方举办会议的视频,比如油管上的blink on!另外还有源码里面的文档,不过啃着快的难度有点大! 2
2019-12-17“CSP 的核心思想是让服务器决定浏览器能够加载哪些资源,让服务器决定浏览器是否能够执行内联 JavaScript 代码。”服务器怎么决定“浏览器是否能够执行内联 JavaScript 代码”?难道服务器还能监听浏览器执行的代码? 1- 2019-11-19想详细了解CORS,可以看阮一峰的这篇文章https://www.ruanyifeng.com/blog/2016/04/cors.html
作者回复: 感谢提供资源
1 - 2019-10-17老师,跨域资源共享和跨文档消息机制这一块可以详细讲一下吗
作者回复: 讲这个我还得准备一些后端的演示代码,放到最后的答疑部分吧
1 - 2019-12-17我这 opener 对象是 null。
2019-10-31老师,浏览器的同源策略可以再讲细点么,比如浏览器的内部处理机制是怎样的,这些感觉很需要老师帮忙解答下作者回复: 这块浏览器处理到是不复杂的,主要是弄清楚同源策略的具体开了哪些口子,这些口子是如何影响到前后端开发的?
- 2019-10-31同源DOM互相操作的例子中,第二个页面如何获取第一个页面的window对象opener的?也就是opener是在哪里被赋值的?
2019-10-17这些安全机制感觉还是太弱了,非常容易被攻破.怪不得早些年钓鱼网站横行.作者回复: 目前稍微好点,有了沙盒,有了HTTPS,少了插件,页面进程也做了分离,攻击站点的难度和成本都提升了不少!
2019-10-17【同源策略】是Web在DOM、Web 数据和网络三个层面上提供的安全策略,保证我们在Web使用中的隐私和数据安全。但是过于严格的安全策略,损失了Web开发和使用中的灵活性,所以我们必须出让一部分安全性,以便达到安全和灵活的平衡。
Web在出让安全性方面主要是允许嵌入第三方资源、跨域资源共享。
为解决允许嵌入第三方资源的风险,最典型的就是XSS攻击,浏览器引入了内容安全策略,即【CSP】,由服务端来决定可以加载哪些第三方资源。
在Web页面中我们经常需要通过XMLHttpRequest或ajax发送跨域请求,而【同源策略】会阻止我们的请求,为了解决这个问题,引入了跨域资源共享【CORS】。展开