面试题手册

Chrome 调试技巧Chrome 浏览器提供了强大的调试工具，帮助开发者快速定位和解决问题。主要调试工具Elements 面板查看和修改 DOM 结构实时编辑 CSS 样式查看元素的计算样式监听元素变化Console 面板执行 JavaScript 代码查看日志和错误信息使用 console API 调试支持断点调试Sources 面板查看和编辑源代码设置断点单步调试查看调用栈Network 面板监控网络请求查看请求和响应分析加载性能模拟网络条件高级调试技巧断点调试条件断点日志断点DOM 断点XHR 断点性能分析Performance 面板录制内存分析CPU 使用分析渲染性能分析移动端调试设备模式模拟触摸事件模拟网络节流模拟远程调试黑盒脚本排除第三方库聚焦调试目标代码提高调试效率常用快捷键F12：打开开发者工具Ctrl+Shift+I：打开开发者工具Ctrl+Shift+C：选择元素Ctrl+Shift+J：打开 ConsoleF8：暂停/继续执行F10：单步跳过F11：单步进入最佳实践熟练使用各个面板善用断点和日志定期分析性能保持代码整洁使用 Source Map 调试压缩代码

Chrome 网络请求优化优化 Chrome 浏览器的网络请求可以显著提高页面加载速度和用户体验。优化策略减少 HTTP 请求数量合并 CSS 和 JavaScript 文件使用 CSS Sprites 合并小图片使用 Data URI 嵌入小资源使用 CDN 加速将静态资源部署到 CDN利用边缘节点加速访问减少网络延迟启用 HTTP/2 或 HTTP/3多路复用，减少连接数服务器推送，提前发送资源头部压缩，减少传输数据量资源压缩启用 Gzip 或 Brotli 压缩压缩文本资源（HTML、CSS、JS）使用现代图片格式（WebP、AVIF）预加载和预连接使用 <link rel="preload"> 预加载关键资源使用 <link rel="preconnect"> 预连接服务器使用 <link rel="dns-prefetch"> 预解析 DNS缓存策略设置合适的 Cache-Control 头使用 ETag 和 Last-Modified利用 Service Worker 缓存性能指标TTFB（Time to First Byte）：首字节时间下载时间：资源下载耗时连接时间：建立连接耗时DNS 查询时间：DNS 解析耗时实际应用使用 Chrome DevTools Network 面板分析请求识别慢速请求和优化机会监控关键资源的加载时间持续优化网络性能

Chrome 浏览器隐私保护Chrome 浏览器提供了多种隐私保护功能，保护用户的个人信息和浏览数据。隐私保护功能无痕模式不保存浏览历史不保存 Cookie 和表单数据不保存下载和搜索记录但仍会被 ISP 和网站追踪Cookie 控制阻止第三方 Cookie清除网站数据管理 Cookie 权限SameSite Cookie 属性广告追踪拦截拦截第三方追踪器隐私沙盒技术减少跨站追踪安全浏览警告恶意网站阻止危险下载检测钓鱼网站实时保护密码管理安全保存密码自动填充密码检查密码泄露强密码生成隐私设置隐私设置页面网站权限管理同步设置控制扩展程序权限管理最佳实践定期清除浏览数据使用强密码和两步验证审查扩展程序权限注意网站权限请求保持浏览器更新开发者注意事项遵守隐私政策最小化数据收集明确告知用户数据使用提供数据删除选项使用 HTTPS 加密

Chrome 浏览器性能优化Chrome 浏览器性能优化是提升用户体验的关键，需要从多个维度进行优化。加载性能优化资源优化压缩和合并 CSS、JavaScript 文件使用现代图片格式（WebP、AVIF）启用 Gzip 或 Brotli 压缩使用 CDN 加速资源加载代码优化代码分割和懒加载Tree Shaking 删除未使用代码使用 Web Workers 处理复杂计算避免长任务阻塞主线程缓存优化设置合理的 Cache-Control 头使用 Service Worker 缓存利用浏览器缓存机制实施资源预加载策略渲染性能优化减少重排和重绘避免频繁操作 DOM使用文档片段批量更新使用 CSS3 动画代替 JavaScript 动画使用 transform 和 opacity 进行动画优化布局避免 table 布局使用 Flexbox 和 Grid避免复杂的 CSS 选择器使用 will-change 提示浏览器GPU 加速使用 transform 和 opacity 触发 GPU 加速合理使用 will-change 属性避免过度创建图层运行时性能优化JavaScript 优化减少全局变量使用事件委托防抖和节流合理使用闭包内存优化及时清理定时器和事件监听器避免内存泄漏使用 WeakMap 和 WeakSet定期检查内存使用情况监控和分析使用 Chrome DevTools Performance 面板使用 Lighthouse 进行性能评分监控 Core Web Vitals 指标持续优化和测试

Chrome 浏览器兼容性处理Chrome 浏览器虽然市场份额很高，但仍需要处理与其他浏览器的兼容性问题。常见兼容性问题CSS 兼容性不同浏览器对 CSS 属性的支持不同前缀问题（-webkit-, -moz-, -ms-）布局差异（Flexbox、Grid）JavaScript 兼容性ES6+ 特性支持差异API 支持差异行为差异HTML 兼容性标签支持差异表单元素差异语义化标签支持解决方案特性检测使用 Modernizr 等库检测特性条件加载 polyfill提供降级方案Polyfill使用 core-js 提供 ES6+ 支持使用 whatwg-fetch 提供 fetch API使用 @babel/polyfillCSS 前缀使用 Autoprefixer 自动添加前缀使用 PostCSS 处理 CSS手动添加必要的浏览器前缀Babel 转译将 ES6+ 转译为 ES5配置浏览器目标优化输出代码测试策略使用 BrowserStack 进行跨浏览器测试使用 Chrome DevTools 设备模式在不同版本的 Chrome 中测试测试主流浏览器（Firefox、Safari、Edge）最佳实践优先使用标准 API渐进增强策略提供合理的降级方案定期更新依赖库关注浏览器更新和新特性

Chrome 插件开发Chrome 插件是扩展浏览器功能的重要工具，可以增强用户的浏览体验。插件核心组件Manifest 文件插件的配置文件定义插件的基本信息和权限使用 JSON 格式编写Background Script在后台运行的脚本监听浏览器事件处理插件逻辑Content Script注入到网页中的脚本可以访问和修改 DOM与网页进行交互Popup 页面点击插件图标时显示的页面用于显示插件界面可以包含 HTML、CSS、JavaScriptOptions 页面插件的设置页面用户可以配置插件选项数据存储在 chrome.storage 中常用 APIchrome.storage：存储插件数据chrome.tabs：操作标签页chrome.runtime：插件运行时 APIchrome.webRequest：拦截和修改网络请求chrome.notifications：显示通知开发流程创建插件目录和 manifest.json 文件编写插件逻辑代码在 Chrome 中加载未打包的插件测试和调试插件打包和发布插件最佳实践遵循最小权限原则使用 Content Security Policy优化插件性能提供良好的用户体验定期更新和维护插件

Chrome 安全机制Chrome 浏览器实现了多层安全机制，保护用户免受网络攻击和恶意代码的侵害。主要安全机制同源策略限制不同源的页面之间的交互防止恶意网站访问其他网站的数据源由协议、域名和端口决定沙箱机制每个进程运行在受限环境中限制进程对系统资源的访问防止恶意代码影响系统内容安全策略（CSP）通过 HTTP 头控制资源加载限制可以加载的脚本、样式等资源防止 XSS 攻击HTTPS 和证书验证强制使用 HTTPS 加密连接验证网站证书的有效性防止中间人攻击跨域资源共享（CORS）允许服务器声明哪些源可以访问资源通过 HTTP 头控制跨域请求提供安全的跨域数据访问方式防护措施XSS 防护：自动检测和阻止跨站脚本攻击CSRF 防护：SameSite Cookie 属性防止跨站请求伪造混合内容防护：阻止 HTTPS 页面加载 HTTP 资源下载保护：扫描下载文件，检测恶意软件安全最佳实践使用 HTTPS 并配置正确的证书实施 CSP 策略使用 SameSite Cookie 属性验证和过滤用户输入定期更新浏览器和插件

Chrome 多进程架构Chrome 采用多进程架构，将浏览器功能分配到不同的进程中，提高稳定性和安全性。主要进程类型浏览器进程负责浏览器的界面显示管理其他进程处理用户输入存储和管理用户数据渲染进程负责网页的渲染和显示执行 JavaScript 代码处理 HTML、CSS 和 DOM每个标签页通常有一个独立的渲染进程插件进程运行浏览器插件插件崩溃不会影响浏览器主进程提供插件隔离环境GPU 进程负责 GPU 加速处理 3D 图形和动画提高渲染性能网络进程处理网络请求管理网络连接处理 HTTP/HTTPS 请求架构优势稳定性单个标签页崩溃不会影响其他标签页插件崩溃不会影响浏览器主进程进程隔离提高了系统稳定性安全性每个进程运行在沙箱环境中限制进程的权限防止恶意代码影响系统性能多进程利用多核 CPU并行处理提高效率GPU 进程加速图形渲染进程间通信使用 IPC（进程间通信）机制通过消息传递进行通信共享内存用于大数据传输实际应用Chrome 会根据系统资源动态调整进程数量可以通过命令行参数控制进程行为开发者可以通过 DevTools 查看进程信息

Chrome 存储机制Chrome 浏览器提供了多种存储机制，满足不同场景下的数据存储需求。存储类型LocalStorage容量：约 5-10MB持久化存储，数据不会过期同源页面共享数据只能存储字符串类型SessionStorage容量：约 5-10MB会话级别存储，页面关闭后失效同源页面不共享数据只能存储字符串类型IndexedDB容量：通常为可用磁盘空间的 50%持久化存储，支持大量数据支持事务和索引可以存储对象、数组等复杂数据类型Cookies容量：约 4KB可以设置过期时间每次请求都会发送到服务器支持设置 HttpOnly 和 Secure 属性Web SQL（已废弃）基于 SQL 的数据库已被 IndexedDB 取代不建议在新项目中使用使用场景LocalStorage：用户偏好设置、主题选择SessionStorage：表单临时数据、页面状态IndexedDB：离线应用、大量数据存储Cookies：用户认证、会话管理最佳实践根据数据大小和访问频率选择合适的存储方式敏感数据应使用 HttpOnly Cookie大数据使用 IndexedDB定期清理过期数据注意存储配额限制

GraphQL 安全最佳实践GraphQL 的灵活性虽然强大，但也带来了独特的安全挑战。以下是保护 GraphQL API 的关键安全措施。1. 认证与授权认证机制const { ApolloServer } = require('apollo-server');const jwt = require('jsonwebtoken');const server = new ApolloServer({ typeDefs, resolvers, context: ({ req }) => { // 从请求头获取 token const token = req.headers.authorization || ''; try { // 验证 token const decoded = jwt.verify(token, process.env.JWT_SECRET); return { user: decoded }; } catch (error) { return { user: null }; } }});授权中间件const { AuthenticationError, ForbiddenError } = require('apollo-server-express');const resolvers = { Query: { me: (parent, args, context) => { if (!context.user) { throw new AuthenticationError('未认证'); } return context.user; }, users: (parent, args, context) => { if (!context.user || context.user.role !== 'ADMIN') { throw new ForbiddenError('需要管理员权限'); } return User.findAll(); } }};2. 查询深度限制防止深度嵌套攻击const depthLimit = require('graphql-depth-limit');const server = new ApolloServer({ typeDefs, resolvers, validationRules: [ depthLimit(7, { ignore: ['ignoredField'] // 忽略特定字段 }) ]});为什么需要:防止恶意客户端发送深度嵌套查询避免服务器资源耗尽防止 DoS 攻击3. 查询复杂度限制限制查询复杂度const { createComplexityLimitRule } = require('graphql-validation-complexity');const complexityLimitRule = createComplexityLimitRule(1000, { onCost: (cost) => console.log(`查询复杂度: ${cost}`), createError: (max, actual) => { return new Error(`查询复杂度 ${actual} 超过最大限制 ${max}`); }});const server = new ApolloServer({ typeDefs, resolvers, validationRules: [complexityLimitRule]});自定义复杂度计算const typeDefs = ` type Query { user(id: ID!): User @cost(complexity: 1) users(limit: Int!): [User!]! @cost(complexity: 5, multipliers: ["limit"]) posts(first: Int!): [Post!]! @cost(complexity: 10, multipliers: ["first"]) }`;4. 速率限制使用 express-rate-limitconst rateLimit = require('express-rate-limit');const limiter = rateLimit({ windowMs: 15 * 60 * 1000, // 15 分钟 max: 100, // 限制每个 IP 100 个请求 message: '请求过于频繁，请稍后再试'});app.use('/graphql', limiter);GraphQL 特定的速率限制const { GraphQLComplexityLimit } = require('graphql-complexity-limit');const server = new ApolloServer({ typeDefs, resolvers, validationRules: [ new GraphQLComplexityLimit({ maxComplexity: 1000, onExceed: (complexity) => { throw new Error(`查询复杂度 ${complexity} 超过限制`); } }) ]});5. 输入验证使用 Yup 验证const yup = require('yup');const createUserSchema = yup.object().shape({ name: yup.string().required().min(2).max(100), email: yup.string().email().required(), age: yup.number().min(0).max(150).optional()});const resolvers = { Mutation: { createUser: async (_, { input }) => { // 验证输入 await createUserSchema.validate(input); // 创建用户 return User.create(input); } }};GraphQL Schema 验证input CreateUserInput { name: String! @constraint(minLength: 2, maxLength: 100) email: String! @constraint(format: "email") age: Int @constraint(min: 0, max: 150)}6. 字段级权限控制使用指令directive @auth(requires: Role) on FIELD_DEFINITIONenum Role { USER ADMIN}type User { id: ID! name: String! email: String! @auth(requires: ADMIN) salary: Float @auth(requires: ADMIN)}const resolvers = { User: { email: (user, args, context) => { if (context.user?.role !== 'ADMIN') { throw new ForbiddenError('无权访问该字段'); } return user.email; }, salary: (user, args, context) => { if (context.user?.role !== 'ADMIN') { throw new ForbiddenError('无权访问该字段'); } return user.salary; } }};7. 防止查询注入参数化查询// 不好的做法 - 字符串拼接const query = `SELECT * FROM users WHERE id = '${userId}'`;// 好的做法 - 参数化查询const query = 'SELECT * FROM users WHERE id = ?';const result = await db.query(query, [userId]);使用 ORM// 使用 Sequelize ORMconst user = await User.findOne({ where: { id: userId }});8. CORS 配置const server = new ApolloServer({ typeDefs, resolvers, cors: { origin: ['https://yourdomain.com'], // 只允许特定域名 credentials: true, methods: ['POST'] }});9. 错误处理不暴露敏感信息const server = new ApolloServer({ typeDefs, resolvers, formatError: (error) => { // 生产环境不暴露详细错误信息 if (process.env.NODE_ENV === 'production') { return new Error('服务器内部错误'); } // 开发环境返回完整错误信息 return error; }});自定义错误类型type Error { code: String! message: String! field: String}type UserResult { user: User errors: [Error!]!}type Mutation { createUser(input: CreateUserInput!): UserResult!}10. 日志与监控记录查询日志const server = new ApolloServer({ typeDefs, resolvers, plugins: [ { requestDidStart: () => ({ didResolveOperation: (context) => { console.log('查询:', context.request.operationName); console.log('变量:', JSON.stringify(context.request.variables)); } }) } ]});监控异常查询const server = new ApolloServer({ typeDefs, resolvers, plugins: [ { requestDidStart: () => ({ didEncounterErrors: (context) => { context.errors.forEach(error => { console.error('查询错误:', error.message); // 发送到监控系统 monitoringService.logError(error); }); } }) } ]});11. 查询白名单使用 persisted queriesconst { createPersistedQueryLink } = require('@apollo/client/link/persisted-queries');const { sha256 } = require('crypto-hash');const link = createPersistedQueryLink({ sha256, useGETForHashedQueries: true});// 只允许预定义的查询const allowedQueries = new Set([ 'hash1', 'hash2'});const server = new ApolloServer({ typeDefs, resolvers, persistedQueries: { cache: new Map(), ttl: 3600 }});12. 安全检查清单[ ] 实施认证机制（JWT、OAuth）[ ] 实施授权机制（基于角色的访问控制）[ ] 限制查询深度[ ] 限制查询复杂度[ ] 实施速率限制[ ] 验证所有输入[ ] 实施字段级权限控制[ ] 防止查询注入[ ] 配置 CORS[ ] 正确处理错误[ ] 记录查询日志[ ] 监控异常查询[ ] 使用查询白名单[ ] 定期安全审计[ ] 保持依赖更新13. 常见安全威胁及防护| 威胁 | 描述 | 防护措施 ||------|------|----------|| 深度嵌套攻击 | 恶意客户端发送深度嵌套查询 | 限制查询深度 || 复杂度攻击 | 发送高复杂度查询消耗资源 | 限制查询复杂度 || DoS 攻击 | 大量请求导致服务不可用 | 速率限制、查询白名单 || 注入攻击 | 恶意输入导致 SQL 注入 | 参数化查询、输入验证 || 未授权访问 | 访问未授权的数据 | 认证、授权、字段级权限控制 || 信息泄露 | 错误信息暴露敏感数据 | 正确的错误处理 |