未题·不语

昨天去面了百度，没想到能面到二面，虽然被大叔的提问难到尴尬，但还是学到了好多东西。至今面过了jd，阿里，美团和百度，每次都是一场一对一讲座。
这四家公司，百度的面试官（小哥和大叔,大叔虽然最高冷），也最乐于分享。虽然惨败，却很开心啊。
1.dom tree和css的渲染是同步的吗？css渲染会阻碍dom tree吗？
是同步的，并且css渲染也会阻碍dom tree的渲染。dom tree渲染的同时，会找到相应的css进行样式生成，形成渲染树，然后渲染完成之后再现实到页面上。如果css读取出问题了，dom tree也无法生成，这时页面是空白的；一旦css文件读取失败，dom tree会按照浏览器原生的样式渲染到页面上，这时候页面就是乱七八糟的了。
2.所有js脚本都会阻塞进程吗？
不会。异步的就不会。异步脚本分为async和deferred。async的脚本就是我们通常见到的真异步脚本，谁先执行完了谁先返回结果；deferred方式的会把异步的脚本挨个从上至下同步执行。
3.crsf攻击怎么处理？xss怎么预防。
crsf攻击是跨站请求伪造。比如在b站点伪造一个a站点的请求发给服务器。后端需要进行来源校验，在请求头里的referre里，还有就是前端发请求的时候会带一个token过去，后台对token进行校验。

xss我只说出来一个字符转义，大叔说这是最常见的，还有呢。

查了一下，大概还有。

- 不要插入不可信数据

- html entity编码

- 不可信数据插入html属性时，进行html属性编码

- 插入script时进行script编码

- 插入style时进行css编码

- 插入html url时进行url编码

- 富文本使用xss规则引擎进行编码过滤

- 对用户的输入进行合理验证 以及 cookie设置httponly标记

4.https是啥？
5.http2
6.SPDY是什么
7.cookie的Secure是干嘛的。

secure属性

当设置为true时，表示创建的 Cookie 会被以安全的形式向服务器传输，也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证，如果是 HTTP 连接则不会传递该信息，所以不会被窃取到Cookie 的具体内容。

8.SSO登录。

单点登录（Single Sign On），简称为 SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。

完全不知道的部分，就没有给解释了。

还出了一道题，他给的解答我表示很疑惑，但是当时都没有拆穿。（反正也面不过，就当他说的对好了）

写一个函数，返回值每次加一。

想了半天，如果变量不放在外部的话，根本不可能啊，除非是绑在属性上。大叔给的答案因为跟我写出的并不正确的答案相差无几，我倒是记下了，回来浏览器上一看，好像根本不对。

唔，或许是我记错了？还是觉得唏嘘不已啊。