-
XMLHttpRequest -
EventSource -
Navigator.sendBeacon()
示例
// 以下链接都将不被允许
default-src
该指令用作其他 CSP 获取指令的后备。 对于其它指令,用户代理查找 default-src 指令并为其使用此值
font-src
指令指定使用@font-face 加载的字体的有效来源。
示例
// 以下字体将无法加载
frame-src
指定使用<frame>和<iframe>等元素加载嵌套浏览上下文的有效源。
示例
见 [[#child-src]],将<meta>中child-src改为frame-src即可
img-src
指定图像和favicon的有效源
特殊可选来源
-
'strict-dynamic':严格的动态源代码表达式指定,通过使用nonce或hash将显式给予标记中存在的脚本的信任传播到该根脚本加载的所有脚本。同时,任何允许列表或源表达式(如“self”或“unsafe inline”)都将被忽略 -
'report-sample': 要求在违规报告中包含违规代码的样本
示例
<meta http-equiv=“content-security-policy” content="
img-src https://www.baidu.com/; ">
// 以下图片将无法加载
manifest-src
指定哪些manifest可以应用到资源。
示例
<meta http-equiv=“content-security-policy” content="
manifest-src https://www.baidu.com/; ">
// 以下清单文件将无法加载
media-src
指定使用<audio>和<video>元素加载媒体的有效源。
示例
<meta http-equiv=“content-security-policy” content="
media-src https://www.baidu.com/; ">
// 以下音频与视频将不会被加载和播放
object-src
指定<object>、<embed>和<applet>元素的有效源
示例
<meta http-equiv=“content-security-policy” content="
object-src https://www.baidu.com/; ">
// 以下控件将不会被加载
prefetch-src
指令指定可以预取或预呈现的有效源
示例
<meta http-equiv=“content-security-policy” content="
prefetch-src https://www.baidu.com/; ">
// 以下资源将不会被预拉取或预渲染
script-src
指令指定 JavaScript 的有效来源。 这不仅包括直接加载到 <script> 元素中的 URL,还包括可以触发脚本执行的内联脚本事件处理程序 (onclick) 和 XSLT 样式表
特殊可选来源
-
'strict-dynamic':严格的动态源代码表达式指定,通过使用nonce或hash将显式给予标记中存在的脚本的信任传播到该根脚本加载的所有脚本。同时,任何允许列表或源表达式(如“self”或“unsafe inline”)都将被忽略 -
'report-sample': 要求在违规报告中包含违规代码的样本
示例
<meta http-equiv=“content-security-policy” content="
script-src https://www.baidu.com/; ">
// 以下资源将不会被预拉取或预渲染
// 以下脚本将不会被加载或执行
// 但是可以通过addEventListener方法来调用
document.getElementById(“btn”).addEventListener(‘click’, doSomething);
style-src
指定样式表的有效源
<meta http-equiv=“content-security-policy” content="
style-src https://www.baidu.com/; ">
// 以下样式表将不会被加载或应用
文档型指令
base-uri
限制可在文档的<base>元素中使用的URL
特殊可选来源
-
'strict-dynamic':严格的动态源代码表达式指定,通过使用nonce或hash将显式给予标记中存在的脚本的信任传播到该根脚本加载的所有脚本。同时,任何允许列表或源表达式(如“self”或“unsafe inline”)都将被忽略 -
'report-sample': 要求在违规报告中包含违规代码的样本
示例
**自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。**深知大多数前端工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上前端开发知识点,真正体系化!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
如果你觉得这些内容对你有帮助,可以扫码获取!!(资料价值较高,非无偿)
完整版面试题资料分享,只需你点赞支持,动动手指点击此处就可免费领取了。
前端实习面试的套路
回顾项目
往往在面试时,面试官根据你简历中的项目由点及面地展开问答,所以请对你做过的最好的项目进行回顾和反思。回顾你做过的工作和项目中最复杂的部分,反思你是如何完成这个最复杂的部分的。
面试官会重点问你最复杂的部分的实现方法和如何优化。重点要思考如何优化,即使你项目中没有对那部分进行优化,你也应该预先思考有什么优化的方案。如果这部分答好了,会给面试官留下很不错的印象。
重点在于基础知识
这里指的基础知识包括:前端基础知识和学科基础知识。
前端基础知识:html/css/js 的核心知识,其中 js 的核心知识尤为重要。比如执行上下文、变量对象/活动对象(VO/AO)、作用域链、this 指向、原型链等。
学科基础知识:数据结构、计算机网络、算法等知识。你可能会想前端不需要算法,那你可能就错了,在大公司面试,面试官同样会看重学生这些学科基础知识。
你可能发现了我没有提到React/Vue这些框架的知识,这里得说一说,大公司不会过度的关注这方面框架的知识,他们往往更加考察学生的基础。
这里我的建议是,如果你至少使用或掌握其中一门框架,那是最好的,可以去刷刷相关框架的面试题,这样在面试过程中即使被问到了,也可以回答个 7788。如果你没有使用过框架,那也不需要太担心,把重点放在基础知识和学科基础知识之上,有其余精力的话可以去看看主流框架的核心思想。
回顾项目
往往在面试时,面试官根据你简历中的项目由点及面地展开问答,所以请对你做过的最好的项目进行回顾和反思。回顾你做过的工作和项目中最复杂的部分,反思你是如何完成这个最复杂的部分的。
面试官会重点问你最复杂的部分的实现方法和如何优化。重点要思考如何优化,即使你项目中没有对那部分进行优化,你也应该预先思考有什么优化的方案。如果这部分答好了,会给面试官留下很不错的印象。
重点在于基础知识
这里指的基础知识包括:前端基础知识和学科基础知识。
前端基础知识:html/css/js 的核心知识,其中 js 的核心知识尤为重要。比如执行上下文、变量对象/活动对象(VO/AO)、作用域链、this 指向、原型链等。
学科基础知识:数据结构、计算机网络、算法等知识。你可能会想前端不需要算法,那你可能就错了,在大公司面试,面试官同样会看重学生这些学科基础知识。
你可能发现了我没有提到React/Vue这些框架的知识,这里得说一说,大公司不会过度的关注这方面框架的知识,他们往往更加考察学生的基础。
这里我的建议是,如果你至少使用或掌握其中一门框架,那是最好的,可以去刷刷相关框架的面试题,这样在面试过程中即使被问到了,也可以回答个 7788。如果你没有使用过框架,那也不需要太担心,把重点放在基础知识和学科基础知识之上,有其余精力的话可以去看看主流框架的核心思想。
