-
TrustedTypes不能彻底杜绝DOMXSS,但能从浏览器内核层面强制拦截绝大多数未经策略处理的危险操作,前提是CSP配置正确、策略覆盖完整且不绕过校验。
-
HTML导出不能提升Excel下载,反而导致格式错乱、公式丢失、中文乱码、安全警告等问题;可靠方案是前端用SheetJS生成标准.xlsx文件或后端用openpyxl等库构建二进制流并设置正确MIME类型。
-
HTML原生<textarea>不支持内联样式,无法单独高亮或下划线其中部分文字;正确方案是改用contenteditable="true"的<div>,结合DOM操作动态包裹错误单词并应用CSS样式。
-
flex-flow是flex-direction和flex-wrap的原子性简写,设了它两个属性都会被全量重置而非可选覆盖;必须写全如columnwrap,不可省略任一值,否则未显式指定的会回退到默认值(row/nowrap)。
-
纯CSS可实现DNA双螺旋动画:用--d控制偏移与延迟,transform-style:preserve-3d+perspective启用3D,伪元素镜像旋转(rotateY±360deg)模拟碱基对缠绕。
-
拖拽时需用event.target.closest('[data-project-id]')获取ID,dragover和drop中必须无条件preventDefault(),绑定后须存localStorage并页面加载时恢复。
-
CSRF防护需服务端动态生成、安全传输并严格校验;Token须绑定session、禁复用、禁硬编码,前端须从DOM安全提取并手动携带至AJAX请求头或表单字段。
-
Vue中实现组件懒加载并动态加载远程JS,核心是结合defineAsyncComponent与import(),需处理CORS、MIME类型、重复加载、错误降级等边界问题,并通过组合式函数封装可复用的加载逻辑。
-
响应式导航栏小屏不折叠的主因是媒体查询断点错误或flex-direction未生效;需确保max-width断点匹配设备、菜单容器设flex-direction:column且display:flex,checkbox联动逻辑正确,z-index配合position闭环。
-
用SassMap定义颜色系统应将语义化色名(如primary、warning)作为键,十六进制值为值存入$colors;支持嵌套主题Map,通过map-get分层取值;相比变量拼接,map-get类型安全、可校验、IDE可跳转,且键不存在时返回null而非报错。
-
data-属性非双向绑定,修改dataset会更新HTML但反之不成立;购物车需用data-id和data-price携带唯一标识与原始单价,读取后须parseFloat()转数字,修改后需手动同步DOM、内存和localStorage。
-
HTML不支持自动生成目录,需手动为h2/h3添加符合规范的id(小写、连字符、非数字开头、唯一),再用href链接;JS动态生成TOC须等DOM加载、安全转义文本、避免重排;CSS:target仅能高亮目标元素,:has()支持不稳,高亮导航项仍需JS。
-
HTML5规范明确支持UTF-8和UTF-16编码,其中UTF-8是强制要求必须支持的唯一编码,UTF-16为可选支持;其他如ISO-8859-1、GBK等虽被主流浏览器实际支持,但非HTML5规范强制要求。
-
应使用opacity与transform组合加transition实现平滑切换,避免display/height等触发重排的属性;配合transitionend监听或状态锁防止快速点击导致UI错乱;框架中宜用显隐控制而非卸载组件。
-
BEM通过.block__element--modifier命名规范显性化样式作用域,解决通用类滥用导致的覆盖混乱;改造需收口孤立样式类、扁平化嵌套、校验修饰符与元素命名,并用postcss-bem-linter自动约束。
