Web (HTML, CSS, сети)

Question 1

Разница между протоколами TCP и UDP?

Answer 1

TCP гарантирует доставку данных, но медленнее чем UDP. UDP может применяться, например, в потоковом аудио и видео.

Question 2

Методы простой оптимизации загрузки сайтов и JS приложений (производительность)

Answer 2

1. Использование async и defer.
2. Оптимизация изображений - использование svg, сжатие и сам размер изображений.
3. Конкатенация и углификация файлов.
4. Инлайн стили (например критический CSS)

Question 3

Анализ производительности (какие есть метрики)

Answer 3

• Скоростные метрики:

TTFB - время до получения первого байта (вычисления на сервере + сеть)

FCP - время до того как на экране появится хоть что-нибудь

LCP - время до того, как на экране появится полезный контент

• Полный вес сайта
• Пользовательские метрики:

Показатель отказов - процент покинувших сайт со страницы входа или посмотревших не более 1 страницы.

Конверсия - полезное действие.

Question 4

XSS - как провести атаку, как защититься

Answer 4

Атака:

Исполнение вредоносного JS-кода на сайте не предусмотренным способом. Например через ввод каких-то данных, которые отображаются на сайте: строка поиска, комментарий, параметры поиска в адресной строке. Получение таким способом конфиденциальных данных, например токены авторизации, авторизационные куки, логин-пароли.

Защита:

Экранирование полученный от пользователя данных, валидация ввода, httponly cookies.

Question 5

GraphQL (знать, что это)

Answer 5

Язык запросов. Позволяет получать данные по конкретному запросу, как в SQL, а не целыми “пластами”, ограничиваясь только предоставленными нам эндпоинтами, как в REST.

Question 6

Git Flow

Answer 6

Методика работы с гит. В ней создаётся отдельная ветка для разработки, а от неё создаются ветки для фич. После того как фича готова делается запрос на слияние. Код перед слиянием проходит ревью.

Question 7

Что такое кросс-браузерность?
Какие инструменты используются для этого?

Answer 7

Одинаковая работа сайта (и его визуальная составляющая) во всех браузерах (в том числе мобильных).

Инструменты:
* префиксы
* обнуление или нормализация
* полифилы

Question 8

Из чего состоит запрос HTTP?

Answer 8

• Стартовая строка: метод, URN и версия протокола.
• Заголовки: параметры запроса. Тут же указывается заголовок Host.
• Тело запроса: состав сообщения, которое отправляется.

Question 9

Какие методы есть в HTTP?

Answer 9

Основные: GET (получение), POST (отправка), PUT (замена, обновление), DELETE (удаление), PATCH (частичное обновление)

Question 10

Чем HTTP отличается от HTTPS?

Answer 10

HTTPS - с шифрованием. В нём участвуют сертификаты, которые должны быть подтверждены центром сертификации и обмен ключами по принципу “рукопожатия” (handshake, TSL, SSL).

Question 11

Что такое SSL и TLS? Зачем они используются в веб-разработке?

Answer 11

Это протоколы шифрования. Используются для:

• защита передаваемых данных от несанкционированного доступа
• аутентификация сервера сертификатом - позволяет предотвратить подмену сервера
• предотвращает подделку данных

Question 12

Как работает DNS?

Answer 12

Есть дерево серверов, где каждый отвечает за свою зону. При поиске адреса через DNS сначала идёт обращение к корневому серверу, который переадресует запрос далее, например в ru регион, тот далее, например к серверу yandex.

В целом есть два типа серверов. Те кто перенаправляют тебя к тому кто знает ответ и те, кто сами получают ответ и затем возвращаются с ним.

Question 13

Что такое REST?

Answer 13

Архитектурный подход для создания API.

API, полностью соответствующий правилам будет RESTful.

1. Клиент-сервер
2. Отсутствие состояния
3. Кэширование
4. Единообразие интерфейса
   
   1. Основан на ресурсах
   2. Манипуляция над ресурсами через представления (клиент представляет как должно выглядеть, сервер решает)
   3. Само-документируемые сообщения (в ответах и запросах есть вся необходимая информация)
   4. Гипермедиа как средство изменения состояния приложения (в ответах есть URI ресурсов, которыми можно воспользоваться)
5. Слои
6. [опционально] Код по требованию

Question 14

Структура URL?

Answer 14

URI - https://domain.com/some/url?q=foo&bar=baz

URL - https://domain.com

URN - some/url

URI = URL + URN

Question 15

Что могут в себе содержать заголовки и Cookies?

Answer 15

Популярные заголовки:
* Host
* User-Agent описание клиента - браузер, ос итд
* Accept указывается формат в котором клиент принимает ответ, “любое” указывается как “/”
* Authorization
* Cookie

Cookie хранятся в виде пар ключ-значение. Небольшие фрагменты данных, которые могут выступать в виде идентификатора пользователя или, например хранить в себе предпочтения пользователя.

Question 16

Какие типы кодов ответов HTTP есть?

Answer 16

100 - информационные

200 - успешное выполнение запроса

300 - переадресация

400 - ошибка клиента

500 - ошибка сервера

Question 17

Что такое прогрессивная отрисовка? Какие технологии используются?

Answer 17

Кусочки HTML генерируются на сервере и отсылаются браузеру в порядке приоритетности (например <header> генерируется и отсылается в первую очередь).

В прогрессивной отрисовке используются техники ленивой загрузки и приоритизации контента (например не загружать изначально все CSS-стили в <head>, а только важные, остальные загрузить в конце <body>).

Question 18

Для чего предназначены линтеры (code style linting tool)?

Answer 18

Для проверки кода на стилистические и программные ошибки.

Question 19

Опишите весь процесс, начиная с ввода адреса сайта в адресную строку до окончания его загрузки на экране.

Answer 19

1. Ввод адреса
2. Поиск адреса в кеше DNS
3. Если его нет, то запрос на сервер DNS
4. Установка TCP соединения
5. HTTP запрос от браузера
6. Сервер получает запрос, готовит и отправляет ответ
7. Браузер получает и отображает контент

Question 20

Что такое History API в браузере?

Answer 20

Даёт доступ к управлению историей браузера в рамках текущей сессии. Новая сессия - новая вкладка или окно.

Можно двигаться по истории с помощью объекта window.history, можно двигаться вперёд и управлять содержимым.

Question 21

Объясните разницу между cookie, sessionStorage и localStorage (web storage).

Answer 21

Механизмы хранения ключ-значения. Могут хранить только строки.

sessionStorage - используется через JS, доступен только в рамках вкладки и до её закрытия

localStorage - используется через JS, доступен в рамках всего сайта для всех вкладок и после закрытия вкладок

cookie - может задаваться сервером или через JS, срок хранения настраивается, отправляется на сервер при каждом запросе

Ключевые отличия:

• данные из storage не отправляются на сервер при каждом обращении
• сервер не может изменять данные в storage, только на фронте через JS

Question 22

Что такое безопасные cookies (Secure cookies)? Что такое HttpOnly cookies?

Answer 22

Безопасные cookies - только по HTTPS.

HttpOnly - нельзя работать через JS с cookies.

Question 23

Что такое IndexedDB в браузере? Преимущества IndexedDB?

Answer 23

Это база данных в браузере. Позволяет хранить больше данных, чем localStorage и более сложная в работе с ней, но и больше контроля.

Question 24

Механизм установки сеанса между клиентом и сервером?

Answer 24

Клиент отправляет запрос на сервер, сервер получает запрос, обрабатывает и создаёт уникальный ID сессии. В ответе отправляет в куках этот ID. Затем клиент будет делать новый запрос уже с полученным ID.

Question 25

Что Такое API?

Answer 25

Aplication Programming Interface - программный интерфейс приложения. Служит для возможности взаимодействия с программой на уровне языков программирования. Набор методов через которые интерфейс может взаимодействовать с базой данных. Обычно используются CRUD операции

Question 26

Что такое CDN?

Answer 26

Content Delivery Network - сеть доставки контента. Служит для ускорения передачи контента клиенту за счёт того что серверов много и выбирается ближайший с наивысшей скоростью.

Question 27

Что такое IP-адрес?

Answer 27

Уникальный сетевой адрес.

Question 28

Разница между host и domain?

Answer 28

Host - тот кто содержит на себе сервер или сайт. Domain - доменное имя, уникальное имя адреса, которое сопоставляется с ip-адресом.

Question 29

Почему очищать кэш важно? Как это можно сделать?

Answer 29

Когда сайт обновляется, если в кеше будут старые файлы, то возможна ситуация в которой приложение может сломаться из-за ссылки на более несуществующий объект (изменённое имя) или что-то подобное. Делается это путём присваивания файлу другого имя.

Question 30

Разница между идентификацией, аутентификацией, авторизацией?

Answer 30

Идентификация - процедура установления личности или сущности (кто это?). Аутентификация - это подтверждение личности, например вводом логина и пароля (действительно ли это?). Авторизация - предоставление прав (что может делать?)

Question 31

Виды аутентификации?

Answer 31

Токен - предоставляется токен, последующие запросы происходят с ним. Другие виды: авторизация через социальные сети, двухфакторная, биометрическая, с использованием сертификата, одноразовый пароль на телефон.

Question 32

Какие меры безопасности следует принять при работе с cookie на стороне клиента?

Answer 32

Флаг Secure (только HTTPS) Флаг HttpOnly (запрет на работу с cookie через JS) Атрибут SameSite: `strict` - полностью блокирует отправку кук на другие сайты `lax` - разрешает отправку при переходе с одного на другой `none` - разрешает отправку всегда, но обязательно должен быть Secure Срок годности cookie

Question 33

Что такое прогрессивный SSR?

Answer 33

Server Side Rendering - прогрессивный рендеринг на стороне сервера. Страница разбивается на части, эти части управляются отдельными скриптами. Части передаются последовательно.

Question 34

Представьте HTML5 как открытую веб-платформу. Из каких блоков состоит HTML5?

Answer 34

1. Новые семантические элементы 2. Мультимедиа - поддержка аудио и видео 3. Графика - стало возможно делать игры и диаграммы 4. API для веб-приложений - геолокация, хранение в браузере и другие. 5. Поддержка устройств - совместимость независимо от самого устройства.

Question 35

Можете ли вы описать некоторые методы SEO?

Answer 35

существует множество методов для улучшения поисковых метрик, вот несколько: - повышение производительности и скорости ответа - семантическая вёрстка с правильной структурой и микроразметкой, альт-атрибуты и метатеги - настройка robots.txt (там можно указать какие страницы индексировать, какие нет, а так же указать карту сайта)

Question 36

Как можно оптимизировать загрузку внешних ресурсов на странице?

Answer 36

Можно использовать кеширование, ленивую загрузку (lazy-loading), поддомены. Если используется HTTP/1.1, для HTTP/2 это неактуально. Можно оптимизировать сборку JS-кода, минифицировать скрипты, использовать CDN, gzip-сжатие, css- и svg-спрайты, настроить кеширование.

Question 37

Сколько ресурсов браузер может одновременно загружать с одного домена?

Answer 37

Для http/1.1 было ограничение в 6 соединений. На http/2 ограничений нет.

Question 38

Почему лучше загружать ресурсы для сайта с нескольких доменов?

Answer 38

Актуально только для HTTP/1.1, так как в нём ограничение на количество соединений с одним доменом.

Question 39

В чём различия между Long-Polling, Websockets и Server-Sent Events?

Answer 39

Long-Polling - клиент делает запрос, сервер отвечает как только есть новая информация, клиент тут же делает новый запрос. Websokets - двухсторонняя постоянная связь по протоколу websoket Server-Sent Events - тоже постоянная связь, но односторонняя в сторону клиента от сервера.

Question 40

Что такое Веб-компоненты?

Answer 40

Технология, которая позволяет создавать самодостаточные компоненты без использования сторонних библиотек.

Question 41

Что означает CORS и какую проблему решает?

Answer 41

В целях безопасности браузер ограничивает запросы на домен, отличный от того, с которого загружен сайт. CORS (Cross-Origin Resource Sharing) - механизм, который позволяет браузеру загружать ресурсы с домена, отличного от того, что используется в данный момент. Работает посредством установки дополнительных HTTP заголовков со стороны сервера. Сервер говорит браузеру откуда можно брать данные.

Question 42

Что такое Content Security Policy (CSP)?

Answer 42

HTTP-хедер, который предназначен для настройки того, откуда и какой контент может запускаться в браузере. Защищает от XSS.

Question 43

Какие основные угрозы безопасности могут возникать на веб-страницах?

Answer 43

* Межсайтовый скриптинг (XSS) - внедрение кода на страницу (например комментарий), который выполняется на странице пользователя. * Межсайтовая подделка запроса (CSRF) - атака при которой запросы отправляются от имени аутентифицированного пользователя без его ведома. * Инъекции кода (Injections) - вредоносный код внедряется в sql запросы или операции ОС. * Утечка информации - неправильная конфиругация прав и отсутствие наименьших привелегий. * Неправильная конфигурация безопасности. * Уязвимости браузера и его расширений - утаревшие версии браузеров и расширений могут содержать неисправленные уязвимости.

Question 44

Что такое принцип наименьших привилегий (POLP)?

Answer 44

Принцип по которому каждая роль должна иметь только минимально необходимый набор прав. Такой подход сокращает количество возможных случайных ошибок и проблем.

Question 45

Назовите критические этапы рендеринга?

Answer 45

Последовательность шагов которые выполняет браузер, когда HTML, CSS и JS преобразуются в пиксели, которые видны на экране. - Document Object Model - трансформирование HTML в DOM-дерево. - CSS Object Model - если HTML документ содержит стили, то при парсинге они запрашиваются и участвуют в построении CSS OM. - JavaScript - если HTML документ содержит тег `