web前端学习/工作笔记（十四）

1. git切换源地址 git remote set-url origin newurl
2. css的sticky失效，因为overflow不能是auto
3. 解决英文字符不换行的问题 word-break: break-all
4. react url传值过多导致卡顿问题： 跳转页面后获取数据，或者通过localStorage处理。

64.助销小程序经验总结：

1. h5不能点击按钮分享，小程序可以
2. wx.invoke不支持，config的beta设为true
3. cos文件下载，a标签浏览器可以预览的文件会到浏览器预览，doc/excel会直接下载；
4. file-saver在微信客户端下载会有问题
5. 靠谱的下载方式是试用后端的下载能力，返回前端流，但是文件大的时候下载会慢
6. 降域是通过将不同域的 document.domain 指定为其共同父域从而使其同源的跨域解决方案。 blog.sch.com、game.sch.com 具有共同的父域 sch.com。 那么将两个域名下的页面的域修改为 sch.com 即可解决跨域问题

document.domain='sch.com'

如果主域不一样，可以用window.postMessage发送跨域消息

1. ssrf：

• 原理： 攻击者可参与构造（多以传入参数的形式）服务器所对外发送请求的内容（如协议、地址、路径、参数等）。因此SSRF漏洞的防御和修复主要以此出发点消除威胁，需要注意的是：不管系统是否对获取内容进行了展示，攻击者能利用服务器发送超出原本功能预期的对内网系统的请求包（简化理解为 攻击者可对内网系统发送任意内容时），SSRF漏洞即存在且能造成安全风险。
• 危害：内网端口和服务扫描，get请求发送到任意端口，攻击内网机器或读取敏感文件。
• 修复方案：校验外部传入的域名是否白名单

1. 修改nginx注意service_name， 看对域名再改
2. git hooks未生效: pre-commit不需要了，规范message提交需要额外安装commitlint、commitlint/config-conventional
3. node版本升级及切换版本，输入sudo n 回车: https://www.jianshu.com/p/962773a0aa9e
4. 小程序webview加载网页，被拦截:

查看网页中是否有iframe，对生成iframe的js屏蔽，或者按需加载即可

上一篇： web前端学习/工作笔记（十三）