面试1

记录面试题，查漏补缺。

今天是涂鸦一面，问题比较基础，但是没准备好，很多题没答上来，自测大概60分。

1. 日常开发用到哪些es6特性

虽然是随口问的，但是没整理过，能想到的只有Promise和模板字符串，有些太常用的，比如let，箭头函数这些一时没想到，而generator、iterator、Symbol这些，又不常用。还是要总结一下，尽管不影响后面的。

let、...、模板字符串、Set、Map、箭头函数、Promise等等

2. var和let的区别

问题比较简单，但是最后问我除了变量提升之外，还有什么区别的时候，没想起来。

• 变量提升
• 暂时性死区
• 不允许重复声明

其实都与变量提升有关，最关键的是，平时也不会出现这种低级错误代码，所以想不起来。

3. 箭头函数与普通函数的区别
   还顺便问了一下作用域，问题也不难，同样是问完关键的this后，还有什么区别，也没想起来。

• 箭头函数没有自己的this对象。
• 不可以当作构造函数，也就是说，不可以对箭头函数使用new命令，否则会抛出一个错误。
• 不可以使用arguments对象，该对象在函数体内不存在。如果要用，可以用 rest 参数代替。
• 不可以使用yield命令，因此箭头函数不能用作 Generator 函数。

最重要的还是1，234确实没接触过，想不到。

4. async await
   这部分我答的不太行，根据使用经验来看，async是修饰function的，await是修饰Promise前半段的，我就这么答了。然后问await和Promise之间有什么联系，我就陷入误区了，我一直以为await就是修饰Promise的，其返回值就是then的参数，认为是“因为是Promise，所以用await修饰”。显然是大错特错。
   不过答了async是Generator的语法糖，是解决异步编程的，说明整体理解还凑合。

async函数返回一个 Promise 对象，可以使用then方法添加回调函数。当函数执行的时候，一旦遇到await就会先返回，等到异步操作完成，再接着执行函数体内后面的语句。

以上es6的就问完了，总体感觉不难，但是细节没做好，还是要多看文档。

5. 网络安全

• CSRF（跨站请求伪造）
  我还解释错了，说是中间人攻击。这部分问的有点细，具体到怎么通过页面拿到用户的登录信息。
  1、用户登录网站A
  2、登录成功，在用户处产生A的cookie
  3、用户在没有登出A的情况下，访问危险网站B
  4、B设置向A危险请求，让用户发出
  5、因为用户带有A的cookie，所以可以成功请求
  这样B就完成了模拟用户进行危险操作。
  防御措施：
  1、token
  2、Referer，HTTP头字段，标识请求来源
  3、验证码，强制交互
• https
  我说到采取非对称加密的时候，面试官问我是不是全程采用非对称加密。其实我对加解密不是很熟，大概知道公私钥的加密，记得CA证书认证那块是非对称的，其他的记不起来，就答了是。

HTTPS 在内容传输的加密上使用的是对称加密，非对称加密只作用在证书验证阶段。
非对称加密的加解密效率是非常低的，而应用场景中通常端与端之间存在大量的交互，非对称加密的效率是无法接受的。
另外：在 HTTPS 的场景中只有服务端保存了私钥，一对公私钥只能实现单向的加解密，所以 HTTPS 中内容传输加密采取的是对称加密，而不是非对称加密。

估计面试官到这就知道我https理解不行，所以后面中间人攻击，具体加解密细节就都没问了，知道问了我也不会￣□￣。

6. 双向绑定
   开始问vue了，除了 子通知父修改值 的部分答的还行，其他的都有问题。
   双向绑定原理，我脑子没太清楚，答的响应式数据，虽然有点关系，但还是偏了。
   接下来是问：data.arr = [1,2,3]，页面根据此渲染了li，如果在控制台里删除li，data会不会变？
   我想到的是数组的监听， 面试官听不太对，又问如果是字符串渲染到页面上，修改页面上的字符串呢？
   我的第一想法是，为什么会有用户直接操作dom？虽然结果答的没错，是不会变，但是思路不对。
   面试官又问我双向绑定的使用场景，我还以为是响应式数据呢，想了半天，说“不手动操作dom的情况下都可以使用双向绑定”。完全陷入误区。

一句话总结：大部分情况下，只有UI控件才存在双向，非UI控件一般是单向。

其实问题很简单，就是有用户交互的情况下，比如input change，dom才会改变，也就是双向绑定。面的时候完全没想到虚拟dom的点，简化起来很简单，改变真实dom并不会改变虚拟dom，data当然不会变。
双向绑定原理就是MVVM，model到view是数据绑定，也就是响应式数据，view到model是dom事件监听。
7、路由
hash和history区别没答上来。之前还看过，纯属是没记住。

• hash
  hash就是跟在url中#后的东西，且不会作为get请求的部分，改变hash不会重新加载页面；可以监听hash的变化。
• history
  利用了History API新增的pushState和replaceState方法。
  应用于浏览器的历史记录，且当修改历史记录栈后，虽然URL会改变，但是浏览器不会刷新，也就为单页面应用“更新视图但不重新请求页面”提供了基础。

8. 自适应三栏布局
   css完全没准备，平时一般能用框架的用框架，不能用的统一flex一把梭，这种用组合样式布局的很少接触了。
   自己手写实现了一下，加深印象，代码就不贴了。

希望后面面试不要犯相同的错误。