安全相关的HTTP响应头

Posted on 2020-06-06 | In TCP/IP | Views:

安全相关的HTTP响应头

Strict-Transport-Security

简称HSTS，要求浏览器总是通过HTTPS访问该网站。

1 2	Strict-Transport-Security "max-age=63072000; includeSubdomains;"; // includeSubDomains 可选，用来指定是否作用于子域名。

X-Frame-Options

不允许以 iframe 或 frame 的形式嵌入，是为了减少点击劫持而引入的一个响应头。

1	X-Frame-Options DENT;

DENT：不允许被任何页面嵌套
SAMEORIGIN：不允许被本域以外的页面嵌入
ALLOW-FROM uri：不允许被指定的域名以外的页面嵌入

X-XSS-Protection

用来防范XSS，目前主流浏览器都默认开启XSS保护。

1	X-Xss-Protection "1; mode=block";

0：禁用XSS保护
1：启用XSS保护
1; mode=block：启用XSS保护，并在检测到XSS攻击时停止渲染页面

X-Content-Type-Options

浏览器一般会根据Content-Type响应头来判断请求的资源类型，例如：”text/html” 代表html文档，”image/png” 代表png图片， “text/css” 代表CSS样式。
如果有些资源的COntent-Type是错误的或未定义的，部分浏览器会启用MIME-sniffing来猜测该资源的类型，并解析执行。
该响应头可以禁用浏览器的Content-Type猜测行为。

1	X-Content-Type-Options nosniff;

X-Content-Security-Policy

定义页面可以加载哪些资源，减少XSS的发生。

1	Content-Security-Policy: default-src 'self'

https://imququ.com/post/content-security-policy-reference.html

Aliexpress 使用案例

content-security-policy-report-only: default-src * 'unsafe-eval' 'unsafe-inline'  data:;report-uri //pointman.alibaba.com/csp?app=ae_default
strict-transport-security: max-age=31536000 ; includeSubDomains
strict-transport-security: max-age=31536000
x-content-type-options: nosniff
x-frame-options: DENY
x-xss-protection: 1; mode=block

HTTPS（HTTP over SSL/TLS）

Posted on 2020-06-06 | In TCP/IP | Views:

HTTPS （HTTP over SSL）

HTTPS(HTTP over SSL/TLS)实际上就是HTTP(HyperText Transfer Protocol) 超文本运输协议)和SSL(安全套接层协议)或TLS(安全运输层协议)的组合使用达到加密HTTP的效果。TLS分为记录协议和握手协议，是规范化的SSL。采用对称加密和非对称加密，两种方法并用的混合加密方式。在密钥交换环节使用非对称加密，报文传输环节使用对称加密。

互联网不是某个国家、组织、个人的私有物，在这种中间极有可能遭到恶意窥视。
HTTP协议是一个很单纯的协议，它只会傻傻的去请求并、响应，因此就有人利用它的傻白甜做一些不好的事情。
由于通信内容是未加密的，即使在通信的过程中使用了POST请求，但数据包在网络中是流动的，其内容很容易被一些抓包工具嗅探到，就会出现以下几种问题。

HTTPS的存在主要是为了解决：

HTTP是明文传输，第三方使用抓包工具轻松的就能查看传输内容，传输内容可能遭到窃听；
HTTP是简单的协议，无法验证客户端的真实性，只负责请求和响应。无法阻止海量请求(DOS)、分布式海量请求(DDOS)。
无法验证服务端的真实性，服务端身份伪装，无法证明传输报文的完整性，传输内容可能遭篡改，即MITM中间人攻击(Man In The MiddleAttack)。

HTTP明文通信
HTTP

TLS加密通信
TLS

通常HTTP是直接和TCP通信的，SSL是独立的协议，处于HTTP之下TCP之上，由SSL来加密、认证传输内容。实际上HTTPS就是添加了身份验证、报文加密、报文完整性校验的HTTP，也可以理解为身披SSL的HTTP。

HTTPS的交互过程

– HTTPS传输过程分为两次HTTP请求：

客户端向服务端发起第一次请求，连接443端口。
服务端收到请求后将自己的公钥使用CA的私钥进行加密生成密文，并添加过期时间、颁发给、颁发者、加密算法等信息，生成数字证书
服务端将数字证书发送至客户端。
客户端收到数字证书后会使用本地证书CA的公钥对其进行验证，确保数字证书来自真实请求的服务端，并验证证书的过期时间、当前访问服务器的域名等信息。验证有问题则此次通信结束。验证通过则客户端生成一个随机值(对称加密秘钥，用于密文加密解密)，使用服务端发来的公钥对随机值进行加密，第一次HTTP请求结束。
客户端发起第二次请求，将加密后的秘钥发送给服务端。
服务端接收到客户端发来的密文后使用私钥对密文进行解密，得到客户端生成的随机值(秘钥)。
将数据使用秘钥加密后发送至客户端。
客户端收到密文后使用随机值(秘钥)进行解密，得到服务端发送来的数据，HTTPS通信结束。

HTTPS采用对称加密和非对称加密，两种加密方式并用的混合加密机制，在交换秘钥环节使用对称加密，报文交换阶段使用非对称加密方式，交换秘钥环节使用对称加密很容易遭到中间人攻击（MITM）至秘钥泄露或者被替换，这时候就要用到证书，证书会对该公钥进行数字签名，并将这个已签名的公钥和证书绑定在一起，以保证非对称加密过程的安全。

加密解密的过程会消耗CPU及内存资源，SSL通信也会占用部分网络资源。

HTTPS解决了明文传输和身份验证的问题那么如何预防DDOS攻击：

使用图片验证或验证码，区分真实用户和肉鸡程序。
根据客户端发起秘钥交换的次数来判别是否可疑。
通过庞大的CDN集群，消化DDOS攻击流量，减轻服务器压力。
加密解密的过程需要CPU来完成，提高客户端的密钥解密的难度。

redux、react-redux

Posted on 2019-11-01 | Edited on 2020-06-06 | In React | Views:

Redux

对状态变化的处理会随着项目的复杂程度提高变的很糟糕。直到你搞不清楚当一个状态改变时会都会引起什么样的变化。

简介：

redux的诞生就是为了给应用提供‘可预测化的状态管理’
redux会将整个应用的状态（即数据）存储到一个地方 – store，适用createStore方法来创建一个store，该方法接收三个参数reducer、preloadedState、enhancer
store中保存着一棵状态树（state tree）
改变状态唯一的方法就是通过store的dispatch方法，触发一个action。这个action会被对应的reducer处理，reducer为纯函数，接收state和action，返回新的state。
组件通过派发（dispatch）一个行为（action）给reducer来描述发生了什么，reducer接收state和action，根据action的描述来处理对应的事情，处理完后返回新的state给store，其它的组件可以通过订阅store中state的变化来做一些事情。

redux有三大原则：

单一数据源：所有的state都以一个对象树的形式保存在一个单一的store中。
state只读：只能通过触发action来修改state，将所有state修改集中化处理。
使用纯函数来修改：reducer接收state、action，并返回新的state。

redux的构成

redux对外暴露五个方法，createStore、combineReducers、bindActionCreators、applyMiddleware、compose。

createStore

createStore方法为redux的核心，该方法接收三个参数reducer(function)、preloadedState、enhancer(function),
并在函数内部创建监听事件列表(Array), 保存当前的state。
最后store返回四个方法, dispatch、subscribe、getState、replaceReducer。
在createState的最后调用一遍dispatch，传递一个Symbol作为action，触发reducer，让state的初始状态生效。

combineReducers

该方法接收一个reducers(function)，将多个reducer合并，最终生成一个整体的reducer函数，
根据state的key去执行对应的子reducer，最后将返回结果合并成一个state tree。

bindActionCreators

该方法接收一个Function/Object和dispatch方法，返回一个被dispatch包裹的action的方法，该方法主要是简化dispatch方法的调用。

compose

该方法的参数为函数，compose执行返回一个函数，该函数会将所有参数函数从右向左依次执行，
且每一个参数函数执行返回的结果将作为下一个参数函数的参数。compose函数接收的参数为第一次执行的参数。
把复杂的多函数嵌套调用组合成纯粹的函数调用: fn1(fn2(fn3(fn3(…args)))) ===> compose(fn1,fn2,fn3,fn4)(…args)

applyMiddleware

扩展Redux的一种推荐方式，可以让你包装store的dispatch方法。同时还拥有可组合性，将多个middleware组合起来形成middleware链。

redux的原理实际上就是闭包和发布订阅模式的很好的实践。

// 简单的发布订阅模式
let state = { count: 1 }
let listeners = [] // 订阅的事件列表

function subscribe(listener) { // 订阅事件
  listeners.push(listener)
}

function publish(count) { // 一旦发布，即调用订阅的所有事件
  state.count = count
  for (let i = 0; i < listeners.length; i++) {
    let listener = listeners[i]
    listener()
  }
}

subscribe(() => { // 订阅打印state的事件
  console.log(state)
})

// 发布状态，触发订阅的事件。
publish(1) // {count: 1}
publish(2) // {count: 2}

简单版redux实现

createStore

该方法接收三个参数reducer（function）、preloadedState、enhancer（function），并返回四个方法dispatch、subscribe、getState、replaceReducer供store使用。

reducer接收state、action作为参数，并返回处理后的state，该方法内需要处理state的初始状态，否则为undefined。
preloadedState在传递reducer之前设置初始state，可以选择从服务器中获取状态或用于恢复用户历史状态。
enhancer，store的增强器
dispatch方法是改变redux中state的唯一方法。接收一个action作为参数，并返回一个action。

该方法调用当前的reducer，然后将当前的state赋值为reducer处理完毕后返回的state。

最后dispatch将store中监听的事件列表遍历执行一遍。
subscribe方法接受一个listener(function)作为参数，该方法将listener添加到store监听的事件列表中。

最后返回一个unsubscribe(function)，用于将listener从store监听的事件列表中移除。
getState方法返回当前的state。
replaceReducer方法接受一个nextReducer作为参数，将当前的reducer替换为nextReducer，

在createState的最后调用一遍dispatch，传递一个Symbol作为action，触发reducer，让state的初始状态生效。

function createStore(reducer, preloadedState, enhancer) {
    let currentReducer = reducer
    let currentState = preloadedState;
    let currentListeners = [];
    let nextListeners = currentListeners;
    let isDispatching = false;

    if (typeof enhancer !== 'undefined') {
        return enhancer(createStore)(reducer, preloadedState)
    }

    function ensureCanMutateNextListeners() {
        if (nextListeners === currentListeners) {
          	nextListeners = currentListeners.slice()
        }
    }

    function dispatch(action) {
        try {
            isDispatching = true
            currentState = currentReducer(currentState, action)
        } finally {
          	isDispatching = false
        }
        
        let listeners = (currentListeners = nextListeners)
        for (let i = 0; i < listeners.length; i++) {
            const listener = listeners[i]
            listener()
        }

        return action;
    }

    function subscribe(listener) {
        if (!isDispatching) {
            let isSubscribe = true

            ensureCanMutateNextListeners()
            nextListeners.push(listener)
        }
        return function unsubscribe() {
            if (!isSubscribe) return;
            isSubscribe = false;

            ensureCanMutateNextListeners()
            const index = nextListeners.indexOf(listener);
            nextListeners.slice(index, 1)
            currentListeners = null
        }
    }

    function getState() {
        if (!isDispatching) {
          	return currentState;
        }
    }

    function replaceReducer(nextReducer) {
        currentReducer = nextReducer
        dispatch({ type: Symbol() })
    }

    // 用一个不匹配任何action的type, 来触发state = reducer(state, action), 获取初始值
    dispatch({ type: Symbol() })

    return {
        dispatch,
        getState,
        subscribe,
        replaceReducer,
    }
}

combineReducers

const combineReducers = reducers => {
    return (state = {}, action) => {
        return Object.keys(reducers).reduce(
            (nextState, key) => {
                nextState[key] = reducers[key](state[key], action);
                return nextState;
            },
            {} 
        );
    };
}

bindActionCreators

function bindActionCreator(actionCreator, dispatch) {
    return function() {
        return dispatch(actionCreator.apply(this, arguments))
    }
}

function bindActionCreators(actionCreators, dispatch) {
    if (typeof actionCreators === 'function') {
        return bindActionCreator(actionCreators, dispatch)
    }

    const boundActionCreators = {}
    for (const key in actionCreators) {
        const actionCreator = actionCreators[key]
        if (typeof actionCreator === 'function') {
        boundActionCreators[key] = bindActionCreator(actionCreator, dispatch)
        }
    }
    return boundActionCreators
}

// example:
    // Function
    let bindAction = bindActionCreators(a => ({ type: 'INCREMENT', params: a }), store.dispatch)
    bindAction(1)

    // Object
    let bindAction = bindActionCreators({
        INCREMENT: (a) => ({ type: 'INCREMENT', params: a }),
        DECREMENT: (a) => ({ type: 'DECREMENT', params: a })
    }, store.dispatch)
    bindAction.INCREMENT(1)
    bindAction.DECREMENT(1)

compose

function compose(...funcs) {
    if (funcs.length === 0) {
        return arg => arg
    }

    if (funcs.length === 1) {
        return funcs[0]
    }

    return funcs.reduce((a, b) => (...args) => a(b(...args)))
}

applyMiddleware

每个middleware接受store的dispatch和getState函数作为命名参数，并返回一个函数。
该函数会被传入一个叫next的方法，这个next方法是下一个middleware的dispatch方法，并返回一个接收action的新函数。
这个函数可以直接调用next(action)。

function applyMiddleware(...middlewares) {
    return createStore => (...args) => {
        const store = createStore(...args)
        let dispatch = () => {
            throw new Error(
                'Dispatching while constructing your middleware is not allowed. ' +
                'Other middleware would not be applied to this dispatch.'
            )
        }

        const middlewareAPI = {
            getState: store.getState,
            dispatch: (...args) => dispatch(...args)
        }
        const chain = middlewares.map(middleware => middleware(middlewareAPI))
        dispatch = compose(...chain)(store.dispatch)

        return {
            ...store,
            dispatch
        }
    }
}

// example:
const logger = ({ getState, dispacth }) => next => action => {
    console.log('老状态', getState());
    next(action);
    console.log('新状态',getState());
}
const store = applyMiddleware(logger)(createStore)(reducer);

React-Redux

ES6标准入门 -- 学习笔记 (下)

Posted on 2019-07-22 | Edited on 2020-06-06 | In JavaScript | Views:

Class

ES6中的Class写法只是让对象原型的写法更加清晰，更像面向对象编程 ( Object Oriented Programming，OOP ), 于构造函数用法完全一致。

// ES5

function Fun(x, y) {
    this.x = x
    this.y = y
}

Fun.prototype.plus = function() {
    return this.x + this.y
}

var num = new Fun(1, 2)
num.plus() // 3

// ES6
// 类的内部默认使用严格模式，不需要再显示声明。

class Fun {
    constructor(x, y) {
        // 类的原型方法，使用new关键字则自动调用该方法
        // 若未声明该方法，则会默认添加一个空的constructor方法
        this.x = x
        this.y = y
        
        // 默认return this;
    }
    
    plus() {
        return this.x + this.y
    }
}
var num = new Fun(1, 2)
num.plus() // 3

typeof Fun // "function"

// 所有方法不可枚举

Object.keys(Fun.prototype) // []

// 所有实例共享同一个原型对象

let num1 = new Fun(1, 2)
let num2 = new Fun(2, 3)
num1.__proto__ === num2.__proto__ // true

// class表达式

let name = new class {
    constructor() {
        this.name = 'j.'
    }
    
    console() {
        console.log(this.name)
    }
}
name.console() // 'j.'

// 类不存在变量提升

new Fun() // Cannot access 'Fun' before initialization
class Fun {}

// 私有方法
// ES6不提供私有方法，但可使用其他方法实现

// 方法一
class Widget {
    foo(options) {
        this._bar(options)
    }
    
    // 方法前加_表示为私有方法，但在类的外部依旧可以调用该方法。
    _bar(options){
        return options;
    }
}

// 方法二
class Widget {
    foo(options) {
        bar.call(this, options)
    }
}

function bar(options) {
    return options;
}

// 方法三 使用Symbol
class Widget {
    foo(options) {
        this[bar](options)
    }
    [bar](options) {
        return options;
    }
}

// 私有方法（提案）在变量或函数前加#
class Widget {
//    #a;
//    #fun() {
//    }
}

this指向

// 类的方法中的this默认指向类的实例，在外部调用类的方法时this指向可能会指向运行环境。

class Logger {
    print(name = 'J'){
        this.console(name)
    }
    
    console(name) {
        console.log(name)
    }
}
const logger = new Logger()
const { print } = logger
print() // Cannot read property 'console' of undefined

// 方法一
class Logger {
    constructor() {
        this.print = this.print.bind(this)
    }
    // ...
}

// 方法二 箭头函数
class Logger {
    this.print = (name = 'J') => {
        this.console(name)
    }
    // ...
}

// 方法三 Proxy
function selfish(target) {
    const cache = new WeakMap()
    const handler = {
        get (target, key) {
            const val = Reflect.get(target, key)
            if (typeof val !== 'function') {
                return val;
            }
            if (!cache.has(val)) {
                cache.set(val, val.bind(target))
            }
            return cache.get(val)
        }
    }
    const proxy = new Proxy(target, handler)
    return proxy
}

const a = selfish(new Logger())
const { pring } = a
pring() // J

getter、setter

可使用get、set关键字对类内部的某个属性设置存值函数(setter)和取值函数(getter)

class Myclass {
    constructor() {
        this.name = 'jjj'
    }
    get prop () {
        return this.name
    }
    set prop (val) {
        this.name = val
        console.log(this.name)
    }
}

let myclass = new Myclass()
myclass.prop = 'xxx' // 'xxx'
console.log(myclass.prop) // 'xxx'

class的静态方法

类相当于实例的原型，所有在类上定义的方法都会被实例继承，类的方法前加static关键字则不能被实例继承，只能通过类调用，称为“静态方法”。

class Foo {
    static hello() {
        console.log('hello')
        return 'hello'
    }
}
// 在类上调用
Foo.hello() // hello

// 在类的实例上调用
let foo = new Foo() // Uncaught TypeError: foo.hello is not a function

// 父类的静态方法可以被子类继承，子类也可以通过super调用该方法

class Son extends Foo {
    static method() {
        console.log(super.hello() + ' world')
    }
}

// 通过子类调用
Son.hello() // hello

// 从super对象上调用
Son.method() // hello
            // hello world

class的静态属性和实例属性

静态属性是Class本身的属性，即Class.prop，而不是定义在实例对象this上的属性。

// 实例属性
class Foo {
    state = 'state'
    method() {
        console.log(this.state)
    }
}
let foo = new Foo()
foo.hello() // state

// 静态属性
class Foo {
    static state = 'state'
    method() {
        console.log(this.state)
    }
}

let a = new Foo()
a.method() // Foo.state = state
          // this.state = undefined
console.log(a.state) // undefined
console.log(Foo.state) // state

new.target属性

在class内部调用new.target属性，如果是通过new命令调用的会返回该类，如果不是则返回undefined

class Foo {
    constructor() {
        console.log(new.target)
    }
}
new Foo() // class Foo {
         //     constructor() {
         //         console.log(new.target)
         //     }
         // }
         

class Foo {
    method() {
        console.log(new.target)
    }
}
const foo = new Foo()
foo.method() // undefined

class继承

在ES5中继承实际是先创造子类的实例对象this，然后再将父类的方法添加到this上面。

在ES6中，子类在继承父类时实际上是继承父类的this对象，然后对其加工得到自己的this。必须在constructor中通过调用super方法，来调用父类的构造函数并新建父类的this对象，否则会报错。

class Foo {
    constructor(x, y) {
        this.x = x
        this.y = y

        console.log('foo', x ,y)
    }

    method() {
        console.log('foo method', this.x, this.y)
    }
}

class Son extends Foo {
    constructor(x, y) {
        super(x, y) // super作为函数调用时代表父类的构造函数，且只能在constructor中使用。


        console.log(x, y)
        console.log(this.x, this.y)
        super.method() // super作为对象时指向父类的原型，可以调用父类的方法，super.method()相当于Foo.prototype.method()
    }
}

new Son(2, 3)
// foo 2 3
// 2 3
// 2 3
// foo method 2 3

// 判断一个类是否继承了另一个类
Object.getPrototypeOf(Son) === Foo // true

类的prototype属性和proto属性

子类的proto属性标识构造函数的继承，总是指向父类

子类的prototype属性的proto属性表示方法的继承，总是指向父类的prototype

class Foo {
    FooMethod() {

    }
}
class Son extends Foo {
    SonMethod () {

    }
}

console.log(Son.__proto__ === Foo) // true
console.log(Son.prototype.__proto__ === Foo.prototype) // true

实例的__proto属性

子类实例的proto属性的proto属性指向父类实例的proto属性。即子类原型的原型是父类的原型。

class Foo {
    FooMethod() {

    }
}
class Son extends Foo {
    SonMethod () {

    }
}
let foo = new Foo()
let son = new Son()

console.log(son.__proto__.__proto__ === foo.__proto__) // true

Proxy

Proxy用于修改某些操作的默认行为，可以理解为在目标对象前架设了‘拦截层’，任何对该对象的操作都必须先通过Proxy。

1
2
3

// target: 要拦截的目标对象。
// handler: 拦截行为。
var proxy = new Proxy(target, handler)

实例方法:

get()

用于拦截某个属性的读取操作。

let o = {
    name: 'j',
}
let proxy = new Proxy(o, {
    get: function(target, propKey) {
        if (propKey in target) {
            console.log('get ' + propKey)
            return target[propKey]
        } else {
            console.log('没有' + propKey)
        }
    }
})

console.log(proxy.name) // get name
                     // j
                     
// get 方法可以继承

let obj = Object.create(proxy)
console.log(obj.age) // 没有age
                   // undefined
                   
// 实现读取数组负数索引
arr = [1,2,3,4,5]
let proxy = new Proxy(arr, {
    get: function(target, propKey) {
        let index = Number(propKey)
        if (index < 0) {
            propKey = target.length + index
        }
        return Reflect.get(target, propKey)
    }
})
console.log(proxy[-1]) // 5

set()

用于拦截某个属性的赋值操作。

let proxy = new Proxy({}, {
    set: function(target, propKey, value) {
        if (propKey === 'age') {
            if (!Number.isInteger(value)) {
                throw new TypeError('The age is not an integer')
            }

            if (value > 200) {
                throw new RangeError('The age seems invalid')
            }
            target[propKey] = value
        }
    }
})
proxy.age = 100
console.log(proxy) // Proxy {age: 100}

apply()

用于拦截函数调用、call、apply操作。
apply接受三个参数，目标对象、目标对象上下文(this)、目标对象参数数组

let target = function(){ return "I am the target"}
let prox = new Proxy(target, {
    apply(target, ctx, args) {
        console.log(target())
        console.log(ctx)
        console.log(args)
    }
})
prox(1, 2) // I am the target
          // undefined
          // [1, 2]
          
let plus = function(x, y) {
    return x + y;
}
let prox = new Proxy(plus, {
    apply(target, ctx, args) {
        return Reflect.apply(...arguments) * 2
    }
})
prox(2, 3) // 10
prox.call(null, 1, 2) // 6
prox.apply(null, [3, 4]) // 14

has()

1
2

Reflect

从Reflect对象上可以获取语言内部的方法
修改某些Object对象的返回结果，使其合理
让Object操作都变成函数行为
无论Proxy如何修改默认行为，都可以在Reflect上获取默认行为

静态方法

Reflect.get()

Promise

异步编程的一种解决方案，比传统的回调函数更合理更强大。
promise简单来说就是一个容器，里面保存着某个未来才会结束的事件的结果。
ES6规定promise对象是一个构造函数，用来生成promise实例。promise对象有三种状态：pending（进行中）、fulfilled（已成功）和rejected（已失败）

// promist构造函数接收一个函数作为参数，该函数接收两个函数resolve、reject作为参数。

// resolve函数将promise对象的状态从pinding变为resolved，在异步操作成功时调用。
// reject函数将promise对象的状态从pending变为rejected，在异步操作失败时调用。

var promise = new Promise(function(resolve, reject) {
    if (true) {
        resolve(val)
    } else {
        reject(error)
    }
})

Promise.prototype.then()
// promise实例生成后，可以使用then方法分别指定resolve和reject的回调函数。
promise.then(function(success) {
    // success回调
}, function(error) {
    // error回调
})


Promise.prototype.catch()
// 用于指定发生错误时的回调函数，


Promise.all()
// 用于将多个Promise实例包装成一个新的Promise实例，该方法接受一个数组，数组成员均为promise实例。
let p = Promise.all([p1, p2, p3])
// 只有所有实例成员的状态都变为resolved时，p的状态才会变成resolved。
// 只要有一个实例变成rejected，则p的状态变为rejected，返回变为rejected状态的实例的返回值。给每一个promise实例都添加catch回调，并return结果，这样就可以在最后的结果中都获取到。


Promise.allSettled()
// 接受多个promise实例数组，只有等到所有参数实例都返回结果(不管成功失败)，该实例才会结束。Promise.all()无法确定所有请求都结束。想要达到这个目的，Promise.allSettled()就容易多了。


Promise.race()
// 接受多个promise实例数组，哪个先resolved就返回哪个值。


Promise.resolve('foo')
// 等价于
new Promise((resolve) => { resolve('foo') })


Promise.reject('foo')
// 等价于
new Promise((resolve, reject) => { reject('foo') })


Promise.prototype.done()
// 处于回调链的最尾端，保证捕捉到可能出现的任何错误。


Promise.prototype.finally() // ES2018
// 不管Promise对象最后状态如何都会执行的操作，接受一个普通函数作为回调函数，不论如何都会执行。

Iterator 遍历器

为各种不同的数据结构提供的统一简便的访问接口(symbol.iterator)，供for…of遍历使用。

let arr = ['a', 'b'];
let iter = arr[Symbol.iterator]();

iter.next() // { value: 'a', done: false }
iter.next() // { value: 'b', done: false }
iter.next() // { value: undefined, done: true }

原生具备iterator接口的数据接口：Array、Map、Set、String、arguments、NodeList对象。除此之外都需要自己手动在Symbol.iterator属性上面部署，才会被for…of遍历。

除了for…of，还有一些会默认调用Symbol.iterator接口的场合，比如：解构赋值、扩展运算符、yield*、Array.from()、Map()、Set()、WeakMap()、WeakSet()、Promise.all()、Promise.race()

iterator遍历过程

创建一个指针对象，指向当前数据的起始位置。
第一次调用指针对象的next方法，指针指向数据结构的第一个数据成员。
以此类推，直到指向数据结构的结束位置。

手动部署Symbol.iterator

// class
class RangeIterator {
  constructor(start, stop) {
    this.value = start;
    this.stop = stop;
  }

  [Symbol.iterator]() { return this; }
  
  next() {
    var value = this.value;
    if (value < this.stop) {
      this.value++;
      return {done: false, value: value};
    }
    return {done: true, value: undefined};
  }
}

for (var value of new RangeIterator(0, 3)) {
  console.log(value); // 0, 1, 2
}

// Object
let obj = {
  data: [ 'hello', 'world' ],
  [Symbol.iterator]() {
    const self = this;
    let index = 0;
    return {
      next() {
        if (index < self.data.length) {
          return {
            value: self.data[index++],
            done: false
          };
        } else {
          return { value: undefined, done: true };
        }
      }
    };
  }
};

for (var value of obj) {
  console.log(value); // 'hello', 'world'
}

// 使用Generator部署Symbol.iterator
let myIterable = {
  [Symbol.iterator]: function* () {
    yield 1;
    yield 2;
    yield 3;
  }
}
[...myIterable] // [1, 2, 3]

// 或者采用下面的简洁写法
let obj = {
  * [Symbol.iterator]() {
    yield 'hello';
    yield 'world';
  }
};

for (let x of obj) {
  console.log(x);
}
// "hello"
// "world"

Generator

Generator 函数是 ES6 提供的一种异步编程解决方案。语法上，首先可以把它理解成，Generator 函数是一个状态机，封装了多个内部状态。Generator 函数还是一个遍历器对象生成函数，可以使用for…of依次遍历 Generator 函数内部的每一个状态。

Generator与普通函数的区别在于需要在函数名前加*号，函数体内可以使用yield表达式，调用后不会直接执行，而是返回一个Iterator对象，调用该对象的next方法，直到遇到yield表达式或return为止。

function* generator() {
  yield 1;
}

let generator = function* () {
  return 1;
}

// 作为对象属性
let obj = {
  myGeneratorMethod: function* () {}
};
// 可简写为
let obj = {
  * myGeneratorMethod() {}
};

yield表达式

yield表达式是Generator函数暂停的标识，且具备位置记忆功能。

遇到yield表达式，就暂停执行后面的操作，并将紧跟在yield后面的那个表达式的值，作为返回的对象的value属性值。
下一次调用next方法时，再继续往下执行，直到遇到下一个yield表达式或return语句为止，并将return语句后面的表达式的值，作为返回的对象的value属性值。
如果该函数没有return语句，则返回的对象的value属性值为undefined。

如果在Generator函数内部需要调用另一个Generator函数或调用iterator接口的话可以使用yield*表达式完成遍历。等同于在yield表达式后面部署了一个for…of循环。

function* foo() {
  yield 'a';
  yield 'b';
}
function* bar() {
  yield 'x';
	yield* foo();
  yield 'y';
}
for (let v of bar()){
  console.log(v);
}
// x, a, b, y

Generator函数应用

控制流管理
部署Iterator接口
作为数据结构
异步操作的同步化表达
异步应用（使用co模块做执行器）

async

Generator函数的语法糖，返回值为Promise，且自带执行器。

async函数返回一个Promise对象，必须等内部所有await执行完毕才会发生状态改变。如果await后面的异步操作出错，等同于async函数返回的Promise对象reject，最好使用try…catch包裹。

正常情况下await后面是一个Promise对象，返回该对象的结果，如果不是则直接返回。

注意：

// 两个独立的异步操作（不互相依赖），被写成继发关系会比较耗时。
// example:
let foo = await getFoo();
let bar = await getBar();

// 可让其同时触发
// 写法一
let [foo, bar] = await Promise.all([getFoo(), getBar()]);

// 写法二
let fooPromise = getFoo();
let barPromise = getBar();
let foo = await fooPromise;
let bar = await barPromise;

异步编程方法

回调函数
事件监听
发布/订阅
Promise
Generator
async

Decorator 装饰器

类的装饰

在代码编译时，将类作为装饰器的第一个参数传入装饰器。可在类上添加静态属性或实例属性/方法。

@decorator
class A {}

// 等同于

class A {}
A = decorator(A) || A;

方法的装饰

方法的装饰器接收三个参数，类的原型对象、所要装饰的属性名、该属性的描述对象。

class Person {
  @readonly
  name() { return `${this.first} ${this.last}` }
}

function readonly(target, name, descriptor) {
    // descriptor对象原来的值如下
  // {
  //   value: specifiedFunction,
  //   enumerable: false,
  //   configurable: true,
  //   writable: true
  // };
  descriptor.writable = false;
  return descriptor;
}

注：由于存在函数提升，使得装饰器不能用于函数。类是不会提升的，所以就没有这方面的问题。

ES6标准入门 -- 学习笔记 (上)

Posted on 2019-07-22 | Edited on 2020-06-06 | In JavaScript | Views:

ECMAScript 6 入门

块级作用域

为什么需要块级作用域呢？

内层变量可能覆盖外层变量。
用来计数的循环变量泄露为全局变量。

块级作用域中内层变量可以读取外层作用域的变量，且内层作用域中的变量优先级高于外层作用域同名变量。

块级作用域的出现也使立即执行匿名函数不再必要。

// ES6块级作用域
{
    let a = 1
    {
        let a = 2
        console.log(a)  // 2
    }
}

// 立即执行匿名函数 (IIFE)
(function(){
    ...
}())

避免在块级作用域内声明函数，如果需要，应写成函数表达式的形式，而不是函数声明语句

// 函数声明语句
{
    function b() {}
}

// 函数表达式
{
    let a = function() {}
}

let

使用let定义的变量，只在let命令所在的代码块内有效。

相同作用域内不能重复声明同一个变量。

在for循环中，这是循环变量的部分为父级作用域，循环体内为单独的子作用域。

for (let i = 0; i < 10; i++) { // 父作用域
    // 子作用域
    let i = 10;
    console.log(i) // 10
}

var命令会发生“变量提升”，可以在声明之前使用，值为undefined。let命令在它声明变量之前，该变量都是不可用的，称为“暂时性死区”。

const

声明一个只读的常量，需立即赋值，一旦赋值就不能改变。

和let一样，也不会”变量提升“、存在”暂时性死区“、不可重复声明。

对于基本数据类型Number、Boolean、String而言，变量指向的是内存地址中，
对于复合数据类型Array、Object而言，变量指向的内存地址中保存的只是一个指针，const只能保证指针不变，不能保证其数据结构是否变化。

const obj = {}
// 为obj添加一个属性
obj.a = 1 // { a: 1 }

// 为obj重新赋值
obg = 1 // Uncaught TypeError: Assignment to constant variable.

// 冻结obj
const obj =  Object.freeze({})
obj.a = 1 // {}

解构赋值

按照一定模式从对象或数组中提取值，然后对变量赋值，称为”解构赋值“。

数组的解构赋值

// 两边模式相等，左边变量就会被赋予对应的值
let [a, b, c] = [1, 2, 3]
a // 1
b // 2
c // 3

let [ , , d] = [4, 5, 6]
d //6

let [e, ...f] = [7, 8, 9]
e // 7
f // [8, 9]

// 如果解构不成功，值为 undefined
let [g, h] = [10]
g // 10
h // undefined

// 允许指定默认值
// 如果数组成员不严格等于undefined，默认值不会生效
let [i, j = 2] = [1]
i // 1
j // 2

对象的解构赋值

let { a: c, b: b } = { a: 1, b: 2 }
// 其中a为模式，c是真正被赋值的变量
c // 1
b // 2

// 简写为
// 变量必须与属性同名
let { a, b } = { a: 1, b: 2 }

// 嵌套
let { c, c: { d } } = { c: { d: 3 }}
c // { d: 3 }
d // 3

// 默认值，对象的属性值必须严格等于 undefined
let { e = 4 } = {}
e // 4

let f;
{ f } = { f: 5 } // SyntaxError：syntax error
// JavaScript引擎会将首行的{}理解为代码块，因此语法错误
// 应写为 ({ f } = { f: 5 })

字符串、数字、布尔值的解构赋值

// 字符串会被解构为一个类数组的对象
const [a, b, c, d, e] = 'hello'
a // h
c // l

const { length } = 'hello'
length // 5

// Number
let { toString: s } = 123
s === Number.prototype.toString // true

// Boolean
let { toString: s } = true
s === Boolean.prototype.toString // true

// Number、Boolean都有toString属性，所以变量可以取到值

解构赋值的规则：若等号右边不为数组或对象，就将其转换为对象。
undefined、null不能转换对对象，所以不能对其解构赋值

函数参数的解构赋值

let fun = ([x, y]) => x + y
fun([1, 2]) // 3

[[1, 2], [3, 4]].map(([x ,y]) => x + y) // [3, 7]

用途

// 交换变量的值
let x = 1
let y = 2
[x, y] = [y, x]
x // 2
y // 1

// 函数返回多个值
function fun() {
    return {a: 1, b: 2}
}
let { a, b } = fun()
a // 1
b // 2

// 引入模块
import { a, b } from 'mou'

字符串扩展

includes(str, num)

查找是否包含参数字符串，与indexOf()类似，但是返回布尔值。

startsWith(str, num)

查找参数字符串是否在源字符串的头部。

endsWith(str, num)

查找参数字符串是否在源字符串的末尾。

// includes()
'abcdefg'.includes('c') // true
'abcdefg'.includes('c', 2) // true, 第二个参数表示开始搜索的位置

'abcdefg'.indexOf('c') // 2

// startsWith()
'abcdefg'.startsWith('a') // true
'abcdefg'.startsWith('d', 3) // true

// endsWith()
'abcdefg'.endsWith('g') // true
'abcdefg'.endsWith('g', 7) // true

repeat(num)

将源字符串重复N次，返回一个新的字符串。参数需为正整数。

padStart(num, str)

字符串头部补全，第一个参数指定字符串的最小长度，第二个参数是用来补全的字符串。

padEnd(num, str)

字符串尾部补全，指定最小长度小于源字符串长度则返回源字符串。

// repeat()
'aa'.repeat(3) // ’aaaaaa'

// padStart()
'X'.padStart(4, 'ak') // 'akakX'

// padEnd()
'X'.padEnd(4, 'ak') // 'Xaka'

模板字符串

let pig = 'pig'
`Hello ${ pig }` // "Hello pig"

// 括号内可放入表达式
`${ 1 + 2 } + ${ 3 + 4 } = 10` // "3 + 7 = 10"

// 可调用函数
let fun = () => 'pig'
`Hello ${ fun() }` // "Hello pig"

// 可以嵌套
`xx${ `Y` }xx` // "xxYxx"

// 标签模板
alert`123` // 123

Math对象扩展

// Math.trunc() 去除一个数的小数部分
Math.trunc(1.5) // 1

// Math.sign() 判断一个数为正数、负数、0️⃣，返回1、-1、0
Math.sign(2) // 1
Math.sign(-2) // -1

// ** 指数运算符
2 ** 3 // 8 等同于 2 * 2 * 2 
3 ** 2 // 9 等同于 3 * 3

函数扩展

// 函数参数默认值
let fun = (x, y = 1) => {
    console.log(x, y)
}
fun(2) // 2, 1
fun() // undefined, 1

// 函数的length属性, 返回传入函数参数的个数
(function(a, b){}).length // 2
// 指定默认值会导致length属性失真
(function(a, b, c = 3){}).length // 2

// rest 参数, 返回传入函数参数的数组, rest参数后不得有其他参数。
let fun = (...value) => {
    return value.sort()
}
fun(3, 1, 2) // [1, 2, 3]

箭头函数

箭头函数没有自己的this，函数内部的this就是外层代码块的this。
不能做为构造函数来使用，即不可使用new。
不存在arguments对象，可用rest参数来代替。
不可以使用yield命令。
call()、apply()、bind()方法无效

尾调用

即在函数的最后一步是调用另一个函数，且后续再无任何操作。

函数调用后会在内存中形成一个调用记录（调用帧），保存函数调用的位置及内部变量等信息，如果在函数A的内部调用函数B，就会在A的调用帧上方形成一个B的调用帧，等到B运行结束并将结果返回到A，A、B的调用帧才会结束，如果函数B内部还调用了函数C，以此类推，会形成一个调用栈。

尾调用优化，即只保留内层函数的调用帧，内层函数不使用外层函数的变量。

尾递归

递归，即函数调用自身，尾调用自身称为尾递归。

递归是非常消耗内存的，因为他们在同时生成很多很多的调用帧，很容易发生“栈溢出”的错误，但是尾递归中只存在一个调用栈，所以不会消耗过多内存，也不会发生栈溢出的错误。

// 举个例子，阶乘
let fun = (n) => {
    if (n === 1) return 1;
    return n * fun(n - 1)
}
fun(5) // 120

// 尾递归 （部分JS解释器不支持）
let fun = (n, total) => {
    if (n === 1) return total;
    return fun(n - 1, n * total)
}
fun(5, 1) // 120
fun(10000, 1) // Infinity
fun(100000, 1) // Maximum call stack size exceeded

// 正常情况下函数尾递归优化的实现，使用蹦床函数并改写原来的递归函数
// 蹦床函数将递归执行转换为循环执行
let trampoline = (f) => {
    while(f && f instanceof Function){
        f = f() 
    }
    return f;
}
// 每执行一次返回另一个函数。
let fun = (n, total) => {
    if (n === 1) return total;
    return fun.bind(null, n - 1, n * total);
}
trampoline(fun(10000000, 1)) // Infinity

// 蹦床函数并非真正的尾递归优化。
let tco = (f) => {
    let value;
    let active = false;
    let accumulated = [];
    
    return function accumulator() {
        accumulated.push(arguments)
        if (!active) {
            active = true
            while (accumulated.length) {
                value = f.apply(this, accumulated.shift())
            }
            active = false
            return value
        }
    }
}

let fun = tco(function(n, total) {
    if (n === 1) return total;
    return fun(n - 1, n * total)
})

fun(10000000, 1) // Infinity

数组扩展

扩展运算符

将数组转换为逗号分隔的参数序列。任何Iterator接口的对象都可使用扩展运算符。

// 主要用于函数调用
let arr = [1, 2, 3]
let push = (arr, ...items) => {
    arr.push(...items)
}
push(arr, 4, 5, 6) // [1, 2, 3, 4, 5, 6]

// 替代apply方法
let add = (x, y) => {
    return x + y
}
add.apply(null, arr) // 3
add(...arr) // 3

// 合并数组
let arr = [3, 4]
[1, 2].concat(arr) // ES5
[1, 2, ...arr]  //ES6

// 结合解构赋值,只能放在参数的最有一位。
[first, ...rest] = [1, 2, 3, 4]
fist // 1
rest // [2, 3, 4]

// 将字符串转为数组
[...'hello'] // ["h", "e", "l", "l", "o"]

Array方法

// Array.from(obj，fun) 将类数组或可遍历对象转换为数组
let arr = {
    '0': 'a',
    '1': 'b',
    '2': 'c',
    length: 3
}
// ES6
Array.from(arr) // ["a", "b", "c"]
// ES5
[].slice.call(arr) // ["a", "b", "c"]

// 第二个参数类似map方法。
Array.from(arr, (i) => i + 'x') // ["ax", "bx", "cx"]

// Array.of() 将一组值转换为数组
Array.of(1, 2) // [1, 2]

数组实例方法

Array.protorype

let arr = [1, 2, 3, 4, 5, 6]

// copyWithin(target, start, end) 将指定的数组成员复制到其它位置（覆盖原有成员），返回该数组
// target: 从该位置开始替换数据
// start: 从该位置开始读取数据，默认0
// end: 到该位置停止读取数据，默认数组长度
arr.copyWithin(3) // [1, 2, 3, 1, 2, 3]
arr.copyWithin(1, 2) // [1, 3, 4, 5, 6, 6]
arr.copyWithin(3, 0, 3) // [1, 2, 3, 1, 2, 3]

// find() 查找符合条件的成员，无则返回undefined
arr.find(i => i < 0) // undefined
arr.find(i => i > 3) // 4

// findIndex(val, index, arr) 查找符合条件的成员，返回其位置,无则返回-1
arr.findIndex((val) => {
    return val > 3 // 3
})

// fill(val, start, end) 使用给定的值填充数组
arr.fill('x') // ["x", "x", "x", "x", "x", "x"]
arr.fill('x', 4) // [1, 2, 3, 4, "x", "x"]
arr.fill('x', 2, 4) // [1, 2, "x", "x", 5, 6]

// includes() 类似indexOf()，返回boolean
arr.includes(1) // true

// in运算符 判断指定的属性是否在原型链中，返回boolean
2 in arr // true
length in arr // true

// 数组空位, 表示该位置没有任何值。
// ES5会忽略空位，ES6会将空位转换为undefined
let empty = [ , , , ]
0 in empty // false

对象扩展

// ES6中，对象的属性名和属性值相同时可以不写属性值。
let a = 'b'
let obj = { a }
a // { a: 'b' }

// ES5写法
let foo = {
    'class': function() { } // class为关键字，加引号防止解析错误 
}
// ES6写法
let foo = {
    class() { }
}

// 属性名表达式
obj['j' + 'x' + 'r'] = 315
obj.jxr // 315

// Object.is() 判断两个值是否完全相等，行为与’===‘一致
Object.is({}, {}) // false

Object.assign(target, source)

将一个或多个源对象所有可枚举属性复制到目标对象, 实现合并对象（浅拷贝），若有同名属性，后者则会覆盖前者。

Object.assign()只复制一个属性的值，而不会复制它的赋值方法个取值方法。

浅拷贝：将原对象的引用直接赋给新对象，新对象只是原对象的一个引用。改变
新对象的属性值时，原对象的值也会被改变。
深拷贝：创建一个全新的对象，其值不是引用，改变原对象属性值时不会影响到新对象。

let a = {
        a: 0,
        b: {
            c: 0,
            d: 0
        }
    }
let b = Object.assign({}, a)
JSON.stringify(b) // "{"a":0,"b":{"c":0,"d":0}}" 

// 浅拷贝
a.b.c = 1
JSON.stringify(a) // "{ "a": 0, "b": { "c": 1, "d": 0 } }"
JSON.stringify(b) // "{ "a": 0, "b": { "c": 1, "d": 0 } }"

b.b.d = 2
JSON.stringify(a) // "{ "a": 0, "b": { "c": 1, "d": 2 } }"
JSON.stringify(b) // "{ "a": 0, "b": { "c": 1, "d": 2 } }"

// 扩展运算符实现浅拷贝
let d = { e: 1, ...a }
d // "{ "e": 1, "a": 0, "b": { "c": 0, "d": 0 } }"

// 深拷贝
let c = JSON.parse(JSON.stringify(a))
a.b.c = 1
JSON.stringify(a) // "{ "a": 0, "b": { "c": 1, "d": 0 } }"
JSON.stringify(c) // "{ "a": 0, "b": { "c": 0, "d": 0 } }"

// 为对象添加方法
Object.assign(example.prototype, {
    method() {}
})

example.prototype.method = function() {}
// 以上两中写法等同。

Object.setPrototypeOf()、Object.getPrototypeOf()

Object.setPrototypeOf(obj, prototype): 将指定的对象的原型设置为另一个对象或null

Object.getPrototypeOf(obj): 返回指定对象的原型

let proto = {}
let obj = {
        a: 0
    }

Object.setPrototypeOf(obj, proto)
proto.b = 1
obj.b // 1

Object.getPrototypeOf(obj) // { b: 1 }

Null传导运算符 (提案)

在开发过程中我们往往会遇到需要判断某个对象的内部属性是否存在。比如要读取data.results.product, 安全的写法如下：

1	const product = (data && data.results && data.results.product) \|\| 'default'

这样的写法虽然解决了data 或 data.results 不存在而导致的报错，但是这样的层层判断是非常麻烦的。Null传导运算符可以简化上面的写法。

const product = data?.results?.product) || 'default'

fun?.(...arg) // 函数调用方法

new C?.(...arg) // 构造函数调用

遍历操作

let obj = {
        a: 1,
        b: 2
    }
    
// for...in
for(let i in obj) {
    console.log(i)
}
// a
// b

// Object.keys() 返回数组，包含对象自身的所有属性，不含Symbol
Object.keys(obj) // ["a", "b"]

// Object.values() 返回数组，包含对象自身所有的属性值。
Object.values(obj) // [1, 2]

// Object.entries()  返回二维数组，成员是键值对数组。
Object.entries(obj) // [["a", 1], ["b", 2]]

// Object.getOwnPropertyNames(obj) 返回数组, 包含对象自身所有属性，不包含Symbol和不可枚举属性
Object.getOwnPropertyNames(obj) // ["a", "b"]

// Object.getOwnPropertySymbols(symbols) 返回自身所有Symbol属性

// Reflect.ownKeys(obj) 返回所有属性。everything~

Set、Map数据结构

Set

类似数组，但是成员唯一，没有重复。本身是构造函数，用来生成set数据解构。

Set实例内部，使用类似于“===“来判断两个值是否相同。

两个NaN是不相等的，但在Set实例内部，两个NaN相等。

实例属性及方法

// 数组去重，将Set结构转换为数组。
let s = new Set([1, 2, 3, 3, 3, 4])
[...s] // [1, 2, 3, 4]
Array.from(s) // [1, 2, 3, 4]

// size 返回Set实例的成员总数
s.size // 4

// add(val) 添加成员，返回添加后的结构
s.add(5) // Set(5) {1, 2, 3, 4, 5}

// delete(val) 删除成员，返回boolean
s.delete(1) // true

// has(val) 返回boolean，是否包含成员
s.has(2) // true

// 清除成员，无返回值
s.clear() //

遍历操作

Set遍历的顺序就是插入的顺序。

keys()、values()

方法返回遍历器对象，由于Set数据结构键值键名相同，所以这两个方法的行为是完全一致的。

entries()

方法返回遍历器对象，同时包括键名和键值。

forEach()

无返回值，参数为处理函数，对每个成员执行操作。该处理函数的参数为键值、键名、集合本身。

// keys()
let s = new Set([1, 2, 3])
for(let i of s.keys()){
    console.log(i)
}
// 1
// 2
// 3

// values()
for(let i of s)){ // 可省略values方法
    console.log(i)
}
// 1
// 2
// 3

// entries()
for(let i of s.entries()){
    console.log(i)
}
// [1, 1]
// [2, 2]
// [3, 3]

// forEach()
s.forEach((values, keys, others) => {
    console.log(values, keys, others)
})
// 1 1 Set(3) {1, 2, 3}
// 2 2 Set(3) {1, 2, 3}
// 3 3 Set(3) {1, 2, 3}

Set实现交集、并集、差集

let a = new Set([1, 2, 3])
let b = new Set([4, 3, 2])

let union = new Set([...a, ...b])
union // 交集 Set(4) {1, 2, 3, 4}

let intersect = new Set([...a].filter(x => b.has(x)))
intersect // 并集 Set(2) {2, 3}

let difference = new Set([...a].filter(x => !b.has(x)))
difference // 差集 Set(1) {1}

WeakSet

与Set结构类似，也是不重复的值的集合，但与Set有两个区别

WeakSet成员只能是对象。
WeakSet中的对象都是弱引用，垃圾回收机制不考虑WeakSet对该对象的应用，不会因此而应发内存泄露。

WeakSet适合临时存放一组对象，以及和对象绑定的信息，只要对象在外部小时，它在WeakSet中的应用就会自动消失。

任何具有iterable(可迭代的)接口的对象都可以作为WeakSet的参数。

const ws = new WeakSet([[1, 2], [3, 4]])
ws // WeakSet { [1, 2], [3, 4] }

// 向实例添加成员
const obj = {}
ws.add(obj) // WeakSet { {} }

// 某个值是否在实例中
ws.has(obj) // true

// 清除实例指定成员
ws.delete(obj) // true

可用于储存DOM节点，不用担心节点从文档中移除时引发的内存泄露。

Map

JavaScript的对象（Object）本质上是键值对的集合，但是只接受字符串作为键。
Map数据结构类似于Object也是键值对的集合，但键可以是各种类型的值。

// Map构造函数接受一个二维数组作为参数.
let m = new Map([[1, 2], [3, 4], [5, 6]])
// Map(3) {1 => 2, 3 => 4, 5 => 6}

// 也可接受双元素数组的Set、Map对象用来生成新的Map数据结构。
let s = new Set([[1, 2], [3, 4], [5, 6]])
new Map(s) // Map(3) {1 => 2, 3 => 4, 5 => 6}
new Map(m) // Map(3) {1 => 2, 3 => 4, 5 => 6}

// Map的键实际上是与内存地址绑定，内存地址不同则视为两个键。
let a = ['a']
let b = ['a']
let m = new Map()

m.set(a, 1)
m.set(b, 2)

m.get(a) // 1
m.get(b) // 2
m.get(['a']) // undefined

实例属性及方法

let m = new Map([[1, 2], [3, 4]])

// size 返回Map结构的成员个数
m.size // 2

// set(key, val) 设置键值，若存在则覆盖，返回整个Map结构
m.set(5, 6) // Map(3) {1 => 2, 3 => 4, 5 => 6}

// get(key) 返回对应的值，无则返回undefined
m.get(3) // 4
m.get(7) // undefined

// has(key) 查找键名，返回boolean
m.has(1) // true

// delete() 删除键值，返回boolean
m.delete(1) // true

// clear() 清空数据结构，无返回值。

遍历方法

keys(): 返回键名
values(): 返回键值
entries(): 返回所有成员
forEach(): 遍历所有成员

let m = new Map([['a', 1], ['b', 2]])

// keys()
[...m.keys()] // ["a", "b"]

// values()
for (let value of m.values()) {
    console.log(value)
}
// 1
// 2

// entries()
for (let entries of m.entries()) {
    console.log(entries)
}
// ["a", 1]
// ["b", 2]

// forEach(value, key)
m.forEach((value, key) => {
    console.log(key, value)
})
// a 1
// b 2

WeakMap

只接受对象作为键名(除了null)。
键名所指向的对象不计入垃圾回收机制。

// methods
let wm = new WeakMap()

wm.set()
wm.get()
wm.has()
wm.delete()

// example
let e1 = document.getElementById('a')
let e2 = document.getElementById('b')

let arr = [[e1, 'a'], [e2, 'b']]
// 一旦不需要使用e1、e2这两个对象的时候，需要将其手动删除，否则会造成内存泄露。垃圾回收机制不会释放其所占用的内存。
arr[0] = null
arr[1] = null

// 当需要向对象中添加数据又不想干扰垃圾回收机制时，即可使用WeakMap
let wm = new WeakMap()
let ele = document.getElementById('c')

wm.set(ele, 'c')
wm.get(ele) // 'c'

// WeakMap弱引用的只是键名，键值正常引用，及时WeakMap外部消除了对象，WeakMap内部依然存在

let key = {}
let obj = { obj: 1 }
wm.set(key, obj)
obj = null

ws.get(key) // {obj: 1}

垃圾回收机制

基本类型的值保存在栈内存中。
引用类型的值保存在堆内存中，会在栈中保存一个指向该对象的指针。

计算机分配给浏览器的可用内存是有限制的，为了防止运行了JavaScript的页面耗尽系统内存而导致系统崩溃，执行环境会负责管理代码执行过程中使用的内存。垃圾收集器是周期性运行的，找到那些不再使用的变量打上标记然后释放其占用的内存。
标识无用变量的方式有两种：

标记清除
垃圾收集器在运行的时候会给储存在内存中的所有变量都加上标记，然后会去掉环境中的变量以及被环境中的变量引用的变量的标记。在此之后，如果变量再次被加上标记，则被视为准备删除的变量，原因是环境中的变量已经无法访问到这些变量了。最后垃圾收集器将销毁那些带标记的值并收回其占用的内存空间。
引用计数
跟踪记录每个值的引用次数。
循环引用会导致大量内存泄露。

一旦变量不再使用，最好将其值设为null来解除引用。

Symbol

ES5中对象属性名都是字符串，容易造成属性名冲突，Symbol表示独一无二的值，是一种新的原始数据类型。Symbol函数接收一个字符串作为参数，仅用于对当前Symbol值的描述。

const s = Symbol()
s // Symbol()

const s1 = Symbol('sym')
const s2 = Symbol('sym')

s1 == s2 // false

let obj = {}
obj[s1] = 'hello'
obj // { Symbol(sym): "hello" }

// 在对象内部使用Symbol值定义属性名时必须放在方括号内
const fun = Symbol('fun')
let obj2 = {
    [s2]: 'hello',
    [fun]: function(){}
}
obj2 // { Symbol(sym): "hello", Symbol(fun): ƒ }
// 可简写为 [fun]() {}

// 使用Symbol作为属性名，使用常规的遍历方法无法获取Symbol属性名，需要使用Object.getOwnPropertySymbols(),该方法返回一个数组，成员是Symbol属性名的Symbol值。
Object.keys(obj2) // []
Object.getOwnPropertySymbols(obj2) // [Symbol(sym), Symbol(fun)]

Symbol方法

Symbol.for()、Symbol.keyFor()

Symbol.for()接收一个字符串作为参数，然后搜索有没有以该字符串为名称的Symbol值，如果有则返回，无则新建一个并返回。

Symbol.for()会登记在全局环境中供搜索,可以再不同的iframe中取到，循环30次Symbol.for()都会返回同一个值，Symbol()则不会登记，会返回30个不同的值。

Symbol.keyFor()会返回一个已登记的Symbol类型值的key。

let s1 = Symbol.for('sym')
let s2 = Symbol.for('sym')
let s3 = Symbol('sym')
s1 === s2 // true

Symbol.keyFor(s2) // 'sym'
Symbol.keyFor(s3) // undefined

Symbol.hasInstance()

指向一个内部方法,对象在使用instanceof时会调用该方法，判断该对象是否为某个构造函数的实例。

class Myclass {
    [Symbol.hasInstance](foo) {
        reutrn foo instanceof Array;    
    }
}

[1, 2] instanceof new Myclass() // true

Symbol.match()

在使用String.prototype.startWith()、String.prototype.endWith()、String.prototype.includes()这类方法时，会检查其第一个参数是否为正则表达式，如果是正则表达式则会抛出错误。

将Symbol.match 置为 false 时则不会检查是否为正则表达式。

let reg = /foo/

'/foo/'.includes(reg) // First argument to String.prototype.includes must not be a regular expression

reg[Symbol.match] = false
'/foo/'.includes(reg)

谨记！

Posted on 2019-07-06 | Edited on 2020-06-06 | In I want to say | Views:

敬畏线上变更的每一行代码‼️
做到三问：

为什么要修改
此次修改是否为最优
修改后会对线上有什么影响

HTTP 超文本运输协议（HyperText Transfer Protocol）

Posted on 2019-06-12 | Edited on 2020-06-06 | In TCP/IP | Views:

用于客户端和服务端请求和响应超文本信息，请求访问资源的一端称之为客户端，响应返回资源的一端称之为服务端且都是通信过程中的应用进程。属于TCP/IP协议族的子集，处于TCP/IP五层网络模型的应用层。

请求报文是由请求方法、请求URI、协议版本、可选的请求首部字段和内容实体组成。

URI、URL、URN的区别

URI（Uniform Resource Identifier，统一资源标识符)
URL (Uniform Resource Locator，统一资源定位符
URN（Uniform Resource Name，统一资源名称）

uri

URL

url

protocol 协议部分 : 代表该网页使用的是HTTP协议，”//“为分隔符
userinfo 用户信息 : 用于填写一些用户相关的信息，比如可能会填写”user:password”(不建议用于填写用户名及密码)
host 域名部分 : 也可以使用IP地址作为域名使用
port 端口部分 : 域名和端口之间使用“:”作为分隔符。端口不是一个URL必须的部分，如果省略端口部分，将采用默认端口80
path 虚拟目录 : 定位主机上的具体文件位置。
query 查询字符串 : 为请求提供参数，用&连接的key=value键值对
fragment 位置标示 : 请求中不需要

TCP/IP五层网络模型

* 本文只对TCP/IP网络模型作简单说明，网络连接中的具体过程待我二刷《计算机网络》后详细讲解。

TCP/IP网络模型	协议	作用
应用层	DNS、HTTP、FTP、SMTP、SNMP	决定了向用户提供应用服务时的通信活动
运输层	TCP、UDP（建立连接、数据传送、连接释放）	向应用层提供通信服务，属于面向通信部分的最高层，面向用户的最低层
网络层	IP（ARP、ICMP、IGMP）、路由（RIP、OSPF）IPv4、IPv6、VPN	向上层只提供简单灵活、无链接、尽最大努力交付的数据服务
数据链路层	PPP、CSMA/CD、点对点信道、广播信道	将网络层交下来的数据构成帧发送到链路上，以及把接收到的帧取出交给网络层
物理层	信道（单工、半双工、全双工）	在计算机的传输媒体上传输比特流，确定与传输媒体的接口特性
物理介质	双绞线、光纤、同轴电缆	光信号或电信号

tcp/ip

客户端在发送数据时，每经过一层都会打上一个该层所属的首部信息，反之，服务端在接收数据时，每经过一层会取消对等层的首部信息。

这一复杂的过程对用户来说是透明的，就好像客户端直接将信息发送给了服务端的应用进程。同理，任何两个对等层之间也像虚线那样把数据直接传递给对方。

协议是“水平的”，即控制对等层实体之间通信的规则。
服务是“垂直的”，即服务是由下层向上层通过接口提供的。

类似于生活中收发快递，为了确保你所寄出去的邮件不会在运输的过程中损坏或被更换内容，你需要加上一层包装并在包装上做上记号，快递公司在运输之前也会加上一层包装并且填写上对应的地址，以防止运输过程中出现损坏或丢失，在快递运输的过程中经过哪些中转站由哪些快递员处理则是不需要知道的，收件方只需要在收到快递后需要确保包装完好、标记准确则可以确认收到的东西为正确的。

HTTP请求的方法

GET : 请求指定资源，只用于获取数据。
POST : 发送数据给服务器. 请求主体的类型由 Content-Type 首部指定。
HEAD : 和GET方法一样，但是只返回报文首部信息，用与确认URI的有效性,使用场景是在下载一个大文件之前先获取其大小再决定下载，节约带宽资源。
OPTIONS : 用来查询指定的URI所支持的请求方法，可以发送一个预检请求，来检测实际请求能否被服务器接受。
PUT : 用来传输文件，如果指定的URI上的资源已经在源服务器上存在，则更新文件内容并返回200，如果指定资源不存在，则根据URI的标识定义一个新资源并返回201。该方法不带任何验证机制，有很大的安全隐患。
DELETE : 用来删除指定URI的文件，如果请求删除成功则返回200，如果请求删除的资源不存在则返回204，和PUT方法一样，不推荐使用。
CONNECT : 要求使用隧道协议来连接代理服务器，让代理服务器去请求目标服务器并将数据返回给用户，说白了就是翻墙。可以用来访问使用了SSL（https）协议的站点。
TRACE : 用来确认连接过程中发生的一系列操作，会将web服务器之前的请求通信返回给客户端。

幂等 idempotent : 方法执行一次或多次的效果是一样的，即没有副作用。POST、CONNECT方法为非幂等。

* GET、POST请求的区别

一般我们在讨论GET、POST的区别包括面试的时候，讨论的都是specification而并不是implementation。看了很多很多关于GET、POST区别的文章几乎都在说implementation，包括w3school给出的答案也非常的粗浅，然鹅这些并不是我想要的答案。

GET、POST都有各自的语义，GET是用来获取数据，POST是用来发送数据。方法是否安全、幂等、可缓存都需要根据客户端、服务端的具体操作去判断，协议中的规定不等于实现。总之在使用时必须考虑其语义，做出符合语义的行为。

推荐两篇不错的文章
HTTP协议中GET和POST方法的区别
 听说『99% 的人都理解错了 HTTP 中 GET 与 POST 的区别』？？

HTTP状态码 RFC7231

http状态码的职责就是当客户端向服务端发起请求时，描述此次请求返回的结果，通过状态吗可以知道服务端是否正常处理请求，通知出现的错误。

	类别	描述
1XX	Informational	信息，接受的请求正在处理
2XX	Successful	成功，操作被成功接收并处理
3XX	Redirection	重定向，需要进一步的操作以完成请求
4XX	Client Error	客户端错误，服务器无法完成请求
5XX	Server Error	服务端错误，服务端处理请求出错

200 ok 请求已成功，响应的实体内容取决于请求方法。

204 No Content 服务器已成功处理请求，但是返回的实体主体中没有内容，用于只需要服务端通知是否成功，而不需要返回任何内容的情况，例如：保存。

206 Partial Content 服务器成功完成对目标资源的范围请求，响应请求Range中表示的一个或多个部分

301 Moved Permanently 目标资源及其资源的引用已被永久分配到一个新的URI，服务端响应Location字段跳转至新的URI，浏览器将会对此跳转进行缓存，使用此状态码需谨慎。

302 Found 目标资源已找到，但是存放在其它的URI下，由于历史原因，用户代理可将POST改为GET用于后续请求。

303 See Other 通常作为 PUT 或 POST 操作的返回结果，它表示重定向链接指向的不是新上传的资源，而是另外一个页面。而请求重定向页面的方法要必须使用 GET。

307 Temporary Redirect 目标资源临时存放在不同的URI下，如果用户代理执行自动重定向到该URI，则不得更改请求方法，因为POST方法不是幂等的，返回值可能和用户所期望的不同。与302相似，但不允许将POST改为GET。

308 Permanent Redirect 同307。与301相似，但不允许将POST改为GET。

304 Not Modified 已接收到GET或HEAD请求，如果不存在请求条件则返回200，否则根据此请求的条件If-Modified-Since或If-None-Match的值来判断客户端的资源是否是最新的，如果是则返回304且实体主体为空，否则返回200且实体主体为最新的内容。
一般来说if-modified-since的值来自于上一次这条请求的Response中的Last-Modified，if-none-match的值来自于上一次这条请求的Response中的Etag

400 Bad Request 客户端错误，请求的合适或语法错误导致请求无效。

403 Forbidden 服务端已理解请求，但拒绝授权。客户端访问权限不足。

404 Not Found 源服务器未找到目标资源或不愿透露目标资源。但不表示这种资源缺少是永久性的。

410 Gone 源服务器上不再可以访问该资源，且是永久性的。

500 Internal Server Error 服务器遇到意外的情况，无法完成请求。

503 Service Unavailable 服务器当前由于过载或维护无法完成请求。

HTTP首部

首部的中分别存放客户端和服务端处理请求和响应请求所需要的信息。
本章只介绍几个常用的字段和指令，如想深入了解请出门右拐。➡️
MDN HTTP headers
RFC2616

HTTP通用首部字段 General

可以应用于请求和响应中的，但不能用于实体主体。

Cache-Control

控制缓存，缓存指令是单向的，这意味着在请求中设置的指令，不一定被包含在响应中。

public：响应可以被任何用户或对象缓存（客户端、代理服务器等）。
private：响应只对特定的用户或对象缓存，代理服务器不可缓存。
no-cache：不缓存过期资源，在处理资源之前会强制向源服务器发起验证。
no-store：不缓存任何内容。
max-age：设置缓存的最大周期（秒）。
immutable：表示响应正文不会随时间而改变。如果资源的max-age未到期，服务端的资源内容将不会改变，因此客户端不应发送重新验证请求来检查更新。减少页面刷新所造成的服务器处理304请求的压力。
s-maxage：覆盖max-age，设置代理服务器缓存的最大周期（秒）。
no-transform：不得对资源进行转换或转变。如：非透明代理可能将图片进行格式转换或压缩。

Connection

控制不再转发给代理的首部字段、管理持久连接。

keep-alive：TCP长连接，保持连接（HTTP1.1版本以前默认非持久连接，需要加上该指令。chrome单次并发连接数为6）。
close：客户端或服务端想要关闭该网络连接。

Date

创建HTTP报文的日期和时间

Pragma

历史遗留字段，仅用于HTTP1.0版本向后兼容，与Cache-Control:no-cache效果一致

Traier

Trailer是一个响应首部，允许发送方在分块发送的消息后面添加额外的元信息。

Transfer-Encoding

规定传输实体主体时采用的编码方式。
chunked、compress、deflate、gzip、identity(不压缩)

Upgrade

切换协议，使用此字段时还需指定Connection：upgrade，服务端可返回101 Switching Protocols

Via

由代理服务器添加，适用于正向代理、反向代理。用于追踪报文的传输路径、防止循环请求。

HTTP请求首部 Request Headers

Accept

客户端能够响应的媒体类型(MIME types)及对应的优先级，q代表权重。

accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,\*/\*;q=0.8,application/signed-exchange;v=b3

Accept-Charset

客户端告诉服务端能够处理的字符集。q代表权重。

Accept-Encoding

客户端能够理解的内容编码方式。

accept-encoding: gzip, deflate, br

br：Brotli

Accept-Language

客户端可以理解的自然语言集。q代表权重。

accept-language: zh-CN,zh;q=0.9

Range

范围请求，告诉服务端返回文件的哪一部分。若成功则返回206 Partial Content，失败返回416 Range Not Satisfiable。

条件请求

服务端在接收到此类条件后，只有判断条件满足时才会返回资源。

If-Match ==> ETag
在GET和HEAD请求的情况下，请求的资源满足列出的ETag之一时才返回资源。
-If-None-Match ==> ETag
与If-Match作用相反，在不满足ETag时返回资源。与If-Modified-Since同时出现时优先级较高。
If-Modified-Since ==> Last-Modified
如果服务端在指定日期之后有更新过资源则返回资源并且状态码为200，否则返回304 Not Modified，并在Last-modified上带上上次修改的日期。
If-Unmodified-Since ==> Last-Modified
与If-Modified-Since作用相反，服务器在指定日期之后没有更新过资源才会返回。否则返回401
If-Range
使Range头字段在一定条件下才会起作用。即可使用Last-Modified时间值验证，也可使用ETag标签来作为验证，但不能同时使用。
一般用于断点续传的过程中，验证资源是否发生改变。
Referrer
包含了当前请求页面的来源页面的地址，即上一跳地址。一般用于统计访问来源。

内容协商机制

HTTP响应首部 Response Headers

Accept-Range

返回指令bytes则表示支持范围请求，none则不支持，等同于不返回该头部

Age

表示该信息在缓存中存贮的时间，以秒为单位

ETag

可用字符串对资源做唯一标示，当资源更新是ETag的值也需要更新，类似于指纹。

强ETag：不管实体发生多细微的变化都会改变值，如：ETag：”value”
弱ETag：弱验证器，只有当实体主体发生根本的改变时才会改变值，如：ETag：”W/value”; (W大写)

Location、Content-Location

Location：需要将页面重定向到新的地址，Location：
Content-Location：报文主体返回对应资源经过内容协商后的URL

Location 与 Content-Location是不同的，前者（Location ）指定的是一个重定向请求的目的地址（或者新创建的文件的URL），而后者（ Content-Location）指向的是可供访问的资源的直接地址，不需要进行进一步的内容协商。Location 对应的是响应，而Content-Location对应的是要返回的实体。

Vary

仅在Vary字段中指定字段的值相同时返回缓存，否则需要向源服务器重新获取资源。

Allow

枚举资源所支持的HTTP方法的集合

Expires

时间戳，在指定时间之后，响应过期，即资源失效日期。

Last-Modified

资源的修改日期。, :: GMT

HTTP的特点

一次链接只能发送一个请求
请求只能从客户端开始
首部未压缩且每次都要发送相同首部、未强制压缩
无法证明报文的完整性

灵活

简单、快速。
允许传输任意类型的数据对象。
客户端发起请求，服务端响应。

SPDY：基于TCP的会话层协议，多路复用、请求优先级、报头压缩、服务器推送，已被HTTP/2取代

无状态

是指协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息，则它必须重传，这样可能导致每次连接传送的数据量增大。

cookie：客户端记录信息
session：服务端记录客户端状态

理解cookie和session机制

无连接

每次连接只处理一个请求，服务端处理完请求并受到客户端应答后，即断开连接。

keep-alive：默认保持长连接。
WebSocket：在单个TCP连接上进行全双工通讯的协议。

深入理解HTTP协议的特点

通信方式：

单工通信：只能有一个方向的通信，没有反方向交互。即只能我发给你，不能你发给我。
半双工通信：通信的双方都可以发送信息，但双方不能同时发送。
全双工通信：通信双方可以同时发送和接收信息。

关于抓包（packet capture）

Posted on 2019-05-15 | Edited on 2020-06-06 | In TCP/IP | Views:

看标题也知道咯，此篇分享呢主要是向大家分享一些我在日常工作中使用到的一些工具以及如何去使用它帮助我们解决开发中截获、编辑、分析网络数据包的问题。

Proxy SwitchyOmega

在开始之前呢先分享一个chrome的拓展程序 Proxy SwitchyOmega。非常轻量级的一个应用程序，可以轻松快捷地管理和切换多个代理设置，操作之简便，使用之方便。

首先下载它 — 进入程序 — 点击新建情景模式 — 选择代理的协议、服务器、端口 — 点击工具栏的图标选择对应的情景模式就可以了。
proxy-switchyOmega

Charles

Charles其实是一款代理服务器，通过将自己设置成系统（电脑或者浏览器）的网络访问代理服务器，然后截取请求和请求结果达到分析抓包的目的。该软件是用Java写的，能够在Windows，Mac，Linux上使用,但是它是收费的，只能免费使用30分钟，超时必须重新打开，自行查找破解版。

Charles的主要功能:

截取Http 和 Https 网络封包。
重发网络请求，方便后端调试。
修改网络请求参数。
网络请求的截获并动态修改。
模拟慢速网络。

Charles抓包:

这时候就需要使用到Proxy SwitchyOmega了，将其打开，添加情景模式，将服务器设置为127.0.0.1，代理端口为8888，当然也可以将端口设置为其他，需要在charles工具栏中点击poxy — 勾选macOS Proxy/windows Proxy — Proxy Settings — 更改端口号后保存即可。
charles

Charles抓取https:

charles
打开charles可以看到上图中左边的红框里面已经抓到一些数据了，但是https前面多了一把锁，表示https是没有抓到数据包的，这时候你的电脑需要装charles的证书，同时要信任，且charles要开启https代理。

开启https代理如下图所示：
其中: 代表所有域名和协议下面所有的端口
电脑安装证书：
点击install Charles Root Certificate后会在你的系统钥匙串里面装一个证书，但证书是不被信任的，此时我们要信任此证书。
手机安装证书:（以iPhone为例）
1、确保手机和电脑在同一局域网内
2、打开手机设置 — 选择已连接的无线网络 — 找到配置代理 — 填写代理服务器为电脑的IP,端口为8888
3、然后在手机浏览器里面输入chls.pro/ssl这时候会提示你下载描述文件，然后安装，iPhone手机记得在关于本机里面信任证书，安卓手机，如果用原生的浏览器装不上，那就下个Chrome在Chrome里面打开chls.pro/ssl这个地址

Whistle

基于Node实现的跨平台web调试代理工具,所以下载前首先确保你已安装node。功能之强大，操作之简便，比较适合前端开发同学使用的工具，也是我个人比较喜欢的一款工具。
官文比较详细，还配有中文版的教程，如何下载使用我这里就不赘述了,直接附上地址。
github地址
 中文文档

Wireshark

我们先将其设置为中文，这样的话使用会比较方便
wireshark

选择对应的网卡后进入主界面
wireshark

这个时候你已经可以看到界面刷刷刷不停的在加载了，我的马鸭怎么回事😱
好了不要慌。。。点左上角的红色方块就可以让它停下来。

对应网络层级

点击分组后我们可以看到下方的封包详细信息，它对应TCP/IP五层网络模型中的每一层，以HTTP为例：
wireshark

TCP包内容

wireshark

TCP建立连接（三次握手🤝）

tcp
我们可以看到这次TCP连接的完整过程，连接完成后建立TLS隧道连接。
此例子中30.38.36.123为客户端，52.231.18.241为服务端。

第一次握手

客户端向服务端发出请求连接的报文，其中同步位SYN置为1，并选择了序号seq为x，TCP规定SYN报文段（即SYN为1的报文）不能携带数据（可以看到LEN=0），并且需要消耗一个序号,此时客户端进入SYN-SENT同步已发送状态。

tcp

第二次握手

服务端在收到请求报文段后如果同意连接，则向客户端发送确认。在确认报文段中将SYN、ACK都置为1，确认号Ack为x+1，同时也为自己选择一个序号y（客户端和服务端的序号不相同），此报文段也不携带数据且也需要消耗一个序号。此时服务器进入SYN-RCVD同步收到状态。
tcp

第三次握手

客户端在收到服务端的确认后，还要向服务端再次发出确认，将确认ACK置为1，确认号Ack为y+1，同时将自己的序号seq置为x+1。此时客户端进入ESTABLISHED已建立连接状态。
服务端在收到确认后也进入ESTABLISHED状态。
tcp

序号seq ：本段报文中所发送的数据的第一个字节的序号，例如：本段报文的序号为0，本段报文长度100字节，下段报文的seq就为101。
确认号Ack ：期望收到对方下一报文段的第一个数据字节的序号。仅在控制位中确认ACK为1时确认号才有效。
确认ACK ：在连接建立后所有传送的报文段都必须将ACK置为1。
同步SYN ：在建立连接时用来同步序号。TCP规定SYN报文段不得携带数据。

过滤表达式

使用正确的表达式可以快速的从茫茫数据中找到你想要的那一堆。

逻辑运算符： and、or
http ：只看http协议或其它协议名
ip.src == 127.0.0.1 ：源IP地址为127.0.0.1的封包
ip.dst == 0.0.0.0 ：目标地址为0.0.0.0的封包
tcp.port == 80 ：端口为80的
tcp.srcport == 443 ：源端口为443的
http.request.method == “GET” ：只显示GET方法的请求。

分享两篇文章，如果想深入学习Wireshark可以看看
http://www.cnblogs.com/TankXiao/archive/2012/10/10/2711777.html
https://www.cnblogs.com/dragonir/p/6219541.html

关于SSH（Secure Shell）安全外壳协议

Posted on 2019-04-26 | Edited on 2020-06-06 | In SSH | Views:

在了解SSH安全外壳协议之前，我们需要大致了解一下对称加密和非对称加密以及数字签名，推荐一篇很好的文章来理解什么是数字签名，文章中鲍勃扮演客户端，苏珊扮演服务端。

对称加密

是一种采用单钥密码系统加密的方法，即同一个密钥即可用做加密也可用作解密，也称之为单密钥加密。

常用的算法: MD5（消息摘要算法）、SHA（安全散列算法）
优点: 加密解密的速度比较快，适合长时间使用的数据。
缺点 : 加密解密都是使用同一密钥，机密性完全依赖于密钥，密钥的传输和保存存在安全问题，容易泄露、破解，当通信对象增多时密钥的管理也较麻烦。

非对称加密

需要有两个密钥来进行加密和解密，公钥（public key）、私钥（privare key），如果用公钥对数据进行加密，只有使用对应的私钥才能解密。如果用私钥对数据进行加密，则只能用公钥才能将数据解密。加密和解密需要使用不同的密钥。

常用的算法: RSA、DSA
优点: 与对称加密相比，其安全性更好。
缺点 : 加密和解密花费时间长、速度慢，只适合对少量数据进行加密。

SSH（Secure Shell）安全外壳协议

什么是SSH ？

充分利用了对称加密、非对称加密来实现计算机之间的加密登陆和安全数据传输。
SSH是建立在应用层基础上的安全协议，专为远程登陆会话和其他网络服务提供安全性的协议。

主要特征

加密：避免数据泄露
通信的完整性：保证数据在传输过程中不会丢失、被篡改。
认证：识别数据发送者、接受者身份，避免中间人攻击和重定向请求攻击。

主要阶段

协议协商阶段
1. 服务端打开服务端口（默认22），等待客户端连接。
2. 客户端发起TCP连接请求，并建立TCP连接，之后向客户端发送SSH协议版本信息。
3. 客户端根据收到的版本信息决定将要使用的SSH版本，并向服务端发送。
4. 服务端检查是否支持客户端决定使用的SSH版本。若支持，则双方完成协议协商，与客户端建立明文的通信通道进入服务端认证阶段，若版本不兼容，则双方都可断开连接。
服务端认证阶段
1. 服务端向客户端发送以下内容：
  - host key：用于认证服务端身份。
  - server key：用于帮助建立安全的数据传输通道。
  - 8字节的随机数：客户端在下次响应中包含随机数，来防止IP欺诈。
  - 服务端支持的压缩方式、加密算法、认证方式。
2. 客户端在收到服务端发送的host key后会在本地的known host库（～/.ssh/known_host）文件中查找是否包含当前服务端发送的host key，如果有则下一步，如果没有则可以选择是否信任该服务端，或终止当前链接。
3. 客户端需要向服务端发送session key（不可泄露）用于建立安全通信，出于性能考虑，SSH采用对称加密的方式，由当前的通信通道还是采用明文方式，需要用host key和server key（都为非对称加密）来对session key进行两次加密。
4. 服务端收到session key后对其解密，完成安全通道的建立。在正式使用安全通道前客户端要求服务端再次使用session key加密的确认信息，以确认服务端身份。
客户端认证阶段
安全通道已经成功建立，之后所有通信内容都是通过session key加密后进行传输。
1. password：即客户端提供用户名和密码，服务端通过用户名和密码对客户端身份进行认证。
2. public key：基于非对称加密，客户端需要将生成的公钥储存在服务端，服务端用公钥将数据进行加密，客户端若能用私钥对其进行解密则可证明身份。
数据传输阶段
该阶段通过session key提供的加密算法，来保证通信过程中的数据安全。

同时配置 gitlab & github

Posted on 2019-04-15 | Edited on 2020-06-06 | In Git | Views:

这将是我写的第一篇文章，其实也不能称之为文章吧，就叫分享好了。为什么写这篇分享呢，第一是记性不好，踩过的坑总是忘记，用这种方法记录下来的话可以避免重新踩坑也可以避免忘记了想不起来是怎么回事，也是一种沉淀吧。第二呢就是告诉自己，遇到困难一定尽最大的力去解决，不要总是麻烦别人，学习的道路很艰辛最重要的是成长。第三呢就是希望也能够帮助到同样遇到这样的问题不知该如何解决的你。好了，就不废话了。。。

有些时候我们需要同时使用多个git来进行项目管理，比如不同的项目用了不同的github账号，或者使用gitlab的同时又想在自己的github上面作出一点贡献又能避开红线，那么你就需要配置多个密钥。在此我们默认你已经同时拥有了gitlab和github账号。

第一步全局配置gitlab/github用户名、邮箱。

1 2	$ git config --global user.name your_name $ git config --global user.email your_email@gmail.com

接下来，进入你的gitlab/github项目目录，配置本地用户名、邮箱,也可以将其配置为全局（–global）

1 2	$ git config --local user.name example $ git config --local user.email youemail@gmail.com

可以通过以下命令来查看是否配置成功

1 2	$ git config user.name $ git config user.email

第二步生成SSH key

执行以下命令将在～/.ssh 目录下生成对应的gitlab/github的公钥(.pub后缀)、密钥。（～/.ssh/文件夹是默认隐藏的，mac系统使用快捷键”cmd + shift + . “ 显示隐藏文件夹）

1	$ ssh-keygen -t rsa -f ~/.ssh/id_rsa_github -C "your_email@gmail.com"

执行完命令后会在～/.ssh/文件夹下生成id_rsa_github(私钥)、id_rsa_github.pub(公钥)和id_rsa(私钥)、id_rsa.pub(公钥)的文件，需要将.pub后缀的文件内容拷贝到你的github/gitlab内。
github – setting – SSH Keys – New SSH key – Add SSH key。

执行完以上命令后你只是配置了gitlab和github的用户名、邮箱和公钥，但还是不能进行正常的开发。我们需要让git在操作远程仓库的时候知道它现在是在github还是在gitlab上(通过域名), 所以我们需要通过一个config文件来区分。

第三步配置config文件

创建并修改config文件（不会使用vim可以手动修改）

1
2
3

$ touch config

$ vi config

修改config文件内容

# github
Host github
User git
HostName github.com
IdentityFile ~/.ssh/id_rsa_github

# gitlab
Host gitlab
User git
HostName gitlab.xxx.com
IdentityFile ~/.ssh/id_rsa

Host: 将要链接的服务器地址。
User: 本次链接使用的用户名。
HostName: 真正链接的服务器地址。
IdentityFile: 本次链接指定的密钥文件。
PreferredAuthentications: 指定优先使用哪种方式验证，支持密码和秘钥验证方式。

第四步添加本地SSH

ssh 连接提示 Permission denied (publickey)，需要将公钥(publickey)添加到本地SSH环境

1 2	$ cd ～/.ssh $ ssh-add id_rsa_github

经常不使用会导致本地SSH失效，需要重新执行第四步

第五步测试

1	ssh -T git@github.com

git@ + “config配置中的HostName”

1	Hi xxx! You've successfully authenticated, but GitHub does not provide shell access.

那么，恭喜你。