码迷,mamicode.com
首页 > Web开发 > 详细

JS权威指南读书笔记(五)

时间:2016-07-31 22:15:46      阅读:202      评论:0      收藏:0      [点我收藏+]

标签:

第十三章 Web浏览器中的JavaScript
1 在Html文档中嵌入客户端4种JS代码方法
    a 内联方式,放置在<script>标签之间
    b 放置在<script>标签 src 属性指定的外部文件中
    c 放置在HTML事件处理程序中
    d 放置在URL中,"javascript:" 协议
2 在XHTML中,script标签中内容将被当做其他内容,如果JS代码包含了"<" 或 "&"字符,那么这些字符将被解释成为XML标记。因此,如果要使用XHTML,最好把JS放在一个CDATA部分里:
    <script><![CDATA[ js code ]]></script>
使用src属性时,script标签之间的任何内容都会忽略
4 对于内联脚本,指定不能识别的脚本类型,不会尝试显示或执行。对于外联脚本,指定不能识别的脚本类型,那这个脚本会被忽略,并且不会从指定的URL中下载任何内容。
5 script标签可以有defer 和 async属性,如果同时具有两个属性,支持两者的浏览器会遵从async 属性而忽略 defer 属性。
技术分享
注意,延迟的脚本会按照它们在文档中出现的顺序执行,而异步脚本在它们载入后执行,意味着它们可能无序执行。
6 JS程序执行的时间线:
    a 创建Document对象,并开始解析Web页面,添加Element、Text节点到文档中。此时,document.readystate属性的值是 "loading" 。
    b 当解析器遇到无async或defer属性script标签时,它把这些元素添加到文档中,然后执行行内或外部脚本。脚本同步执行,并且在脚本下载和执行时,解析器会暂停。这样,脚本可以用document.write() 来把文本插入到输入流中。解析器恢复时,这些文本会成为文档的一部分。同步脚本可以看到它自己的script元素和它们之前的文档内容。
    c 当解析器遇到async属性script标签时,它开始下载脚本文本,并解析文档。脚本会在他下载完成后尽快执行,但是解析器没有停下来等它下载。禁止使用document.write(),可以看到自己的script 元素和它之前的所有文档元素,并且可能或干脆不可能访问其他的文档内容。
    d 当文档完成解析,document.readyState属性变成 "interactive"
    e 所有有defer属性的脚本,会按照它们在文档里的出现顺序执行异步脚本可能也会在这个时间执行。延迟脚本能访问整的文档树,禁止使用document.write() 方法。
    f 浏览器在Document对象上触发 DOMContentLoaded 事件。这标志着程序执行从同步脚本执行转换到了异步事件驱动阶段。但要注意,这时可能还有异步脚本没有执行完成。
    g 当所有其他内容(图片等)载入完成,并且所有异步脚本完成载入和执行,document.readyState 属性改变为 "complete",Web浏览器触发Window对象上的load事件
    h 从此刻起,会调用异步事件,以异步响应用户输入、网络事件、计时器过期等。
7 Web浏览器是Web应用的操作系统,但是Web是一个存在各种差异的环境。(不同的操作系统,不同的浏览器开发商)
8 处理兼容性的方法
    a 类库(jQuery等)
    b 分级浏览器支持
    c 功能测试(if (element.addEventListener) 检测是否支持addEventListener)
    d 怪异模式(IE4、5)和标准模式 document.compatMode("CSS1Compat BackCompat")
    e 浏览器测试(navigator.userAgent)
9 JS 可访问性的一条重要原则是,设计的代码即使在禁用JS解释器的浏览器中也能正常使用。
10 同源策略脚本只能读取和所属文档来源相同的窗口和文档的属性,应用于XMLHttpRequest是只允许生成的HTTP请求脚本所属文档的服务器。文档的来源包括协议、主机,以及载入文档的端口。
11 不严格的同源策略
    a 使用多个子域情况下,设置Document对象的domain属性一样,就不再受同源策略约束;
    b 跨域资源共享(Cross-Origin Resource Sharing),利用新的"Origin" 请求头,和新的"Access-Control-Allow-Origin" 响应头来扩展HTTP;
    c 跨文档消息,调用Window对象上的postMessage() 方法,同时监听onmessage事件进行处理。
12 安全性
    a 跨站脚本(Cross site scripting)XSS,攻击者向目标Web站点注入HTML标签和脚本。防御:在使用任何不可信的数据来动态创建文档内容之前,要从中移除HTML标签;
    b 拒绝服务攻击,访问一个恶意站点,这个站点可能用无限循环或无意义的计算大量占用CPU;
    CSRF( Cross Site Request Forgery ),跨站请求伪造,防御:对于任何重要的请求都需要重新验证用户的身份,或者创建一个唯一的令牌(Token),将其存在服务端的session中及客户端的cookie中,对任何请求,都检查二者是否一致。 
 
第十四章 Window对象 
1 由于历史原因,setTimeout和setInterval的第一个参数可以作为字符串传入,指定时间之后,相当于执行eval() 。
2 Document对象有一个URL属性,是文档首次载入(决定不同的document)后保存该文档的URL静态字符串。如果定位到文档中的片段标示符,location对象会做相应的更新,而document.URL属性却不会变。
3 Location对象的toString() 方法返回location.href 属性的值。
4 Location对象的assign() 方法可以使窗口载入并显示你指定的URL中的文档。
History对象
    a back() 后退
    b forward() 前进
    c go 接收一个整数参数,可以在历史列表中向前或向后跳过任意多个页。
6 Navigator重要属性
    a appName:Web浏览器的全称
    b appVersion: 此属性通常以数字开始,并跟着包含浏览器厂商和版本信息的详细信息
    c userAgent:浏览器在它的USERAGENTHTTP头部中发送的字符串。
    d platform:在其上运行浏览器的操作系统的字符串。
    e onLine:表示浏览器当前是否连接到网络。
    f geolocation:用于确定用户地理位置信息的接口。
7 Window对象的onerror属性是一个事件处理程序,当未捕获的异常传播到调用栈上时触发。
8 Window对象的open方法返回代表新创建的窗口的Window对象,而且这个新窗口具有opener属性,该苏醒可以打开它的原始窗口。
9 窗体可以用parent属性引用包含它的窗口或窗体的Window对象。
10 iframe元素有contentWindow属性,引用该窗体的Window对象。 
 

JS权威指南读书笔记(五)

标签:

原文地址:http://www.cnblogs.com/liutie1030/p/5723902.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!