52-【JavaScript-Day 52】告别“野路子”代码:ESLint、Prettier与Web安全入门
Langchain系列文章目录
01-玩转LangChain:从模型调用到Prompt模板与输出解析的完整指南
02-玩转 LangChain Memory 模块:四种记忆类型详解及应用场景全覆盖
03-全面掌握 LangChain:从核心链条构建到动态任务分配的实战指南
04-玩转 LangChain:从文档加载到高效问答系统构建的全程实战
05-玩转 LangChain:深度评估问答系统的三种高效方法(示例生成、手动评估与LLM辅助评估)
06-从 0 到 1 掌握 LangChain Agents:自定义工具 + LLM 打造智能工作流!
07-【深度解析】从GPT-1到GPT-4:ChatGPT背后的核心原理全揭秘
08-【万字长文】MCP深度解析:打通AI与世界的“USB-C”,模型上下文协议原理、实践与未来
Python系列文章目录
PyTorch系列文章目录
机器学习系列文章目录
深度学习系列文章目录
Java系列文章目录
JavaScript系列文章目录
01-【JavaScript-Day 1】从零开始:全面了解 JavaScript 是什么、为什么学以及它与 Java 的区别
02-【JavaScript-Day 2】开启 JS 之旅:从浏览器控制台到 <script> 标签的 Hello World 实践
03-【JavaScript-Day 3】掌握JS语法规则:语句、分号、注释与大小写敏感详解
04-【JavaScript-Day 4】var 完全指南:掌握变量声明、作用域及提升
05-【JavaScript-Day 5】告别 var 陷阱:深入理解 let 和 const 的妙用
06-【JavaScript-Day 6】从零到精通:JavaScript 原始类型 String, Number, Boolean, Null, Undefined, Symbol, BigInt 详解
07-【JavaScript-Day 7】全面解析 Number 与 String:JS 数据核心操作指南
08-【JavaScript-Day 8】告别混淆:一文彻底搞懂 JavaScript 的 Boolean、null 和 undefined
09-【JavaScript-Day 9】从基础到进阶:掌握 JavaScript 核心运算符之算术与赋值篇
10-【JavaScript-Day 10】掌握代码决策核心:详解比较、逻辑与三元运算符
11-【JavaScript-Day 11】避坑指南!深入理解JavaScript隐式和显式类型转换
12-【JavaScript-Day 12】掌握程序流程:深入解析 if…else 条件语句
13-【JavaScript-Day 13】告别冗长if-else:精通switch语句,让代码清爽高效!
14-【JavaScript-Day 14】玩转 for 循环:从基础语法到遍历数组实战
15-【JavaScript-Day 15】深入解析 while 与 do…while 循环:满足条件的重复执行
16-【JavaScript-Day 16】函数探秘:代码复用的基石——声明、表达式与调用详解
17-【JavaScript-Day 17】函数的核心出口:深入解析 return 语句的奥秘
18-【JavaScript-Day 18】揭秘变量的“隐形边界”:深入理解全局与函数作用域
19-【JavaScript-Day 19】深入理解 JavaScript 作用域:块级、词法及 Hoisting 机制
20-【JavaScript-Day 20】揭秘函数的“记忆”:深入浅出理解闭包(Closure)
21-【JavaScript-Day 21】闭包实战:从模块化到内存管理,高级技巧全解析
22-【JavaScript-Day 22】告别 function 关键字?ES6 箭头函数 (=>) 深度解析
23-【JavaScript-Day 23】告别繁琐的参数处理:玩转 ES6 默认参数与剩余参数
24-【JavaScript-Day 24】从零到一,精通 JavaScript 对象:创建、访问与操作
25-【JavaScript-Day 25】深入探索:使用 for...in 循环遍历 JavaScript 对象属性
26-【JavaScript-Day 26】零基础掌握JavaScript数组:轻松理解创建、索引、长度和多维结构
27-【JavaScript-Day 27】玩转数组:push, pop, slice, splice 等方法详解与实战
28-【JavaScript-Day 28】告别繁琐循环:forEach, map, filter 数组遍历三剑客详解
29-【JavaScript-Day 29】数组迭代进阶:掌握 reduce、find、some 等高阶遍历方法
30-【JavaScript-Day 30】ES6新特性:Set与Map,让你的数据管理更高效!
31-【JavaScript-Day 31】对象的“蓝图”详解:构造函数、new 与 instanceof 完全指南
32-【JavaScript-Day 32】深入理解 prototype、__proto__ 与原型链的奥秘
33-【JavaScript-Day 33】深入浅出 ES6 Class:从入门到精通面向对象新姿势
34-【JavaScript-Day 34】前后端数据交互的通用语:深入解析JSON
35-【JavaScript-Day 35】从 window 到 location,一文掌握浏览器对象模型 BOM
36-【JavaScript-Day 36】前端基石:深入理解 DOM 并精通五大元素选择器
37-【JavaScript-Day 37】在 DOM 树中“行走”:节点遍历
38-【JavaScript-Day 38】JS操控网页外观:从innerHTML到classList的全方位指南
39-【JavaScript-Day 39】从零到一,动态构建交互式网页的 DOM 节点操作秘籍
40-【JavaScript-Day 40】响应用户操作:事件监听与处理从入门到精通
41-【JavaScript-Day 41】JS 事件大全:click, keydown, submit, load 等常见事件详解与实战
42-【JavaScript-Day 42】深入解析事件冒泡与捕获:掌握事件委托的精髓
43-【JavaScript-Day 43】从单线程到事件循环:深入解析JS同步与异步核心机制
44-【JavaScript-Day 44】告别混乱:从回调函数到“回调地狱”的演进与解决方案
45-【JavaScript-Day 45】异步编程救星:深入解析 Promise 的状态、创建与链式调用
46-【JavaScript-Day 46】解锁 Promise 并发控制:深入解析 Promise.all、race 与 allSettled
47-【JavaScript-Day 47】告别 .then 链:用 async/await 写出诗一样的异步代码
48-【JavaScript-Day 48】告别 Ajax,拥抱现代网络请求:Fetch API 完全指南
49-【JavaScript-Day 49】告别混乱:一文彻底搞懂 JavaScript ES6 模块化(export/import)
50-【JavaScript-Day 50】代码的守护者:全面解析 try…catch 与错误处理机制
51-【JavaScript-Day 51】从 console.log 到断点大师:深入浏览器调试技巧
52-【JavaScript-Day 52】告别“野路子”代码:ESLint、Prettier与Web安全入门
文章目录
- Langchain系列文章目录
- Python系列文章目录
- PyTorch系列文章目录
- 机器学习系列文章目录
- 深度学习系列文章目录
- Java系列文章目录
- JavaScript系列文章目录
- 前言
- 一、代码可读性:写给人看的艺术
-
- 1.1 命名规范:见名知意
-
- 1.1.1 变量与函数命名
- 1.1.2 常量命名
- 1.1.3 类命名
- 1.2 注释之道:恰到好处的解释
-
- 1.2.1 何时应该写注释
- 1.2.2 何时不该写注释
- 1.3 格式化:代码的“仪容仪表”
-
-
- (1) 缩进
- (2) 空格
- (3) 大括号
-
- 二、自动化工具:你的编码“纪律委员”
-
- 2.1 Linter (代码检查器): ESLint
-
- 2.1.1 ESLint 的核心价值
- 2.1.2 快速上手 ESLint
- 2.2 Formatter (代码格式化器): Prettier
-
- 2.2.1 Prettier 的魅力
- 2.2.2 ESLint 与 Prettier 协同工作
- 三、性能注意事项:让代码跑得更快
-
- 3.1 减少 DOM 操作:昂贵的“交互”
-
- 3.1.1 缓存 DOM 查询结果
- 3.1.2 使用文档片段 (DocumentFragment)
- 3.2 避免滥用全局变量
- 3.3 使用高效的循环
- 四、基本的 Web 安全意识
-
- 4.1 跨站脚本攻击 (XSS) 简介
-
- 4.1.1 XSS 是什么?
- 4.1.2 一个危险的例子
- 4.1.3 如何防御 XSS?
-
- (1) 使用 `textContent` 代替 `innerHTML`
- (2) 对输出进行 HTML 编码
- 五、总结
前言
在我们的 JavaScript 旅程中,你已经掌握了变量、函数、异步编程乃至 DOM 操作等核心技能。现在,你的代码已经能够成功“运行”了。但这仅仅是第一步。一名专业工程师与业余爱好者的核心区别,不仅在于能实现功能,更在于能编写出高质量、可维护、高效且安全的代码。
“任何一个傻瓜都能写出计算机可以理解的代码。唯有优秀的程序员才能写出人类可以理解的代码。” —— Martin Fowler
本篇文章将是你的“代码修行”指南,我们将一起探讨如何将代码从“能跑”的阶段,提升到“优雅”的境界。我们将聚焦于四个核心方面:代码可读性、自动化工具、性能优化和基础安全意识。掌握这些“软技能”,将使你的代码质量和个人竞争力发生质的飞跃。
一、代码可读性:写给人看的艺术
代码的生命周期中,被阅读的次数远远超过被编写的次数。无论是未来的你,还是团队中的其他成员,都需要能够快速理解代码的意图。因此,可读性是高质量代码的首要标准。
1.1 命名规范:见名知意
一个好的名字就像一个清晰的路牌,能瞬间告诉我们它所代表的含义。
1.1.1 变量与函数命名
对于变量和函数,我们统一采用小驼峰命名法(camelCase)。
- 规则: 第一个单词首字母小写,后续每个单词首字母大写。
- 要求: 名字应准确描述其用途,通常是“名词”或“形容词+名词”的组合。函数名通常是“动词”或“动词+名词”的组合。
// 糟糕的命名
let d; // d 代表什么?天?数据?删除?
let a = 30; // a 是什么?
function get(data) { /* ... */ } // get 什么?从哪里 get?
// 推荐的命名
let elapsedTimeInDays; // 名字虽长,但清晰明了
let userAge = 30;
function fetchUserDataFromServer() { /* ... */ } // 动宾短语,意图明确
1.1.2 常量命名
对于意图上不会改变的常量,我们使用全大写下划线命名法(SCREAMING_SNAKE_CASE)。
- 规则: 所有字母大写,单词之间用下划线
_分隔。 - 目的: 在代码中一眼就能识别出这是一个常量,提醒开发者不要试图修改它。
// 使用 const 声明,并采用全大写命名
const MAX_LOGIN_ATTEMPTS = 5;
const API_BASE_URL = "https://api.example.com/v1";
1.1.3 类命名
对于类(Class),我们采用大驼峰命名法(PascalCase)。
- 规则: 每个单词的首字母都大写。
- 目的: 将类与其他变量、函数区分开来,符合面向对象编程的通用约定。
class UserProfile {
constructor(firstName, lastName) {
this.firstName = firstName;
this.lastName = lastName;
}
}
const currentUser = new UserProfile("Li", "Hua");
1.2 注释之道:恰到好处的解释
注释是对代码的补充说明,其核心原则是解释“为什么”这么做,而不是“做什么”。
1.2.1 何时应该写注释
- 解释复杂逻辑: 当一段算法或逻辑比较复杂、不易理解时。
- 阐述业务背景: 解释某个特定实现背后的业务规则或历史原因。
- 标记特殊情况或警告: 提示其他开发者注意潜在的“坑”或者临时的解决方案。
// 好的注释示例:解释“为什么”
function calculateDiscount(price, userLevel) {
// 市场部要求:为了刺激消费,3级以上用户在此期间享受额外折上折
if (userLevel >= 3 && isDuringPromotion) {
return price * 0.7; // 基础折扣 + 额外折扣
}
// ...
}
1.2.2 何时不该写注释
如果代码本身已经足够清晰,就不要画蛇添足。好的命名胜过啰嗦的注释。
// 糟糕的注释:重复代码做的事情
// 定义一个变量 i 并赋值为 0
let i = 0;
// 好的代码:自解释,无需注释
let loopCounter = 0;
1.3 格式化:代码的“仪容仪表”
统一的格式化风格能极大提升代码的整洁度和可读性。
(1) 缩进
使用 2 个或 4 个空格进行缩进(团队内统一即可),不要使用 Tab 键。这是因为在不同的编辑器中,Tab 的显示宽度可能不同,导致格式混乱。
(2) 空格
在操作符(+, -, *, /, =, === 等)前后、逗号后、以及 if/for 等关键字后的括号前,都应加上空格。
// 糟糕的格式
for(let i=0;i<5;i++){
const result=i*2;
console.log('结果是:'+result);
}
// 推荐的格式
for (let i = 0; i < 5; i++) {
const result = i * 2;
console.log('结果是: ' + result);
}
(3) 大括号
推荐使用“埃及括号”风格(One True Brace Style),即左大括号 { 紧跟在语句之后,不换行。
// 推荐
if (condition) {
// ...
} else {
// ...
}
手动保持格式一致性既繁琐又容易出错,幸运的是,我们有强大的自动化工具来解决这个问题。
二、自动化工具:你的编码“纪律委员”
现代前端开发离不开自动化工具,它们能强制执行编码规范,并在编码阶段就发现潜在错误,是保障团队协作和代码质量的利器。
2.1 Linter (代码检查器): ESLint
ESLint 是一个可配置的 JavaScript Linter。它能够静态分析你的代码,找出不符合预设规则的写法,包括潜在的逻辑错误和风格问题。
2.1.1 ESLint 的核心价值
- 错误预防: 捕获常见错误,如使用未声明的变量、拼写错误等。
- 风格统一: 强制团队成员遵循相同的编码风格,减少代码合并时的冲突和困惑。
- 最佳实践: 引导你使用更现代、更健壮的 JavaScript 写法。
2.1.2 快速上手 ESLint
在一个项目中引入 ESLint 非常简单:
- 安装:
npm install eslint --save-dev - 初始化配置文件:
这个命令会引导你创建一个npx eslint --init.eslintrc.js(或.json) 配置文件。你可以选择一个流行的代码风格指南(如eslint:recommended或airbnb)作为基础。
一个基础的 .eslintrc.js 文件可能如下所示:
// .eslintrc.js
module.exports = {
// 继承推荐的规则集
extends: "eslint:recommended",
parserOptions: {
ecmaVersion: 2022, // 使用最新的 ECMAScript 版本
sourceType: "module", // 支持 ES 模块
},
// 配置代码运行的环境
env: {
browser: true, // 支持浏览器全局变量
es2021: true,
},
// 自定义规则
rules: {
// 强制使用分号
semi: ["error", "always"],
// 强制使用单引号
quotes: ["error", "single"],
// 禁止出现未使用的变量(警告级别)
"no-unused-vars": "warn",
},
};
2.2 Formatter (代码格式化器): Prettier
Prettier 是一个“有主见”的代码格式化工具。它不关心你的代码逻辑是否有问题,只专注于一件事:以统一的风格重写你的代码。
2.2.1 Prettier 的魅力
- 零配置: 开箱即用,你几乎不需要配置。
- 一劳永逸: 让你从繁琐的手动格式化中解脱出来,可以配置在保存文件时自动格式化。
- 终结争论: "用2个空格还是4个空格?"这类争论将不复存在,一切交给 Prettier。
2.2.2 ESLint 与 Prettier 协同工作
ESLint 负责“抓坏人”(检查代码质量),Prettier 负责“整理仪容”(格式化代码)。它们是完美的搭档。为了避免它们在格式化规则上打架,通常会使用 eslint-config-prettier 这个包来关闭 ESLint 中与 Prettier 冲突的格式化规则。
# 安装 Prettier 和 ESLint-Prettier 配置
npm install prettier eslint-config-prettier --save-dev
然后,在你的 .eslintrc.js 中继承 Prettier 的配置:
// .eslintrc.js
module.exports = {
extends: [
"eslint:recommended",
"prettier" // 确保这是最后一个,以覆盖其他配置中的格式规则
],
// ... 其他配置
};
现在,你可以运行 ESLint 检查逻辑,运行 Prettier 来格式化代码,各司其职。
三、性能注意事项:让代码跑得更快
优雅的代码不仅要好看,还要高效。在日常开发中,关注一些关键的性能点,能让你的应用体验更上一层楼。
3.1 减少 DOM 操作:昂贵的“交互”
浏览器中,对 DOM 的读写操作是相对昂贵的,因为它可能触发浏览器的重排(Reflow)和重绘(Repaint)。频繁操作 DOM 会严重影响页面性能。
3.1.1 缓存 DOM 查询结果
不要在循环或函数中反复查询同一个 DOM 元素。
// 糟糕的实践:每次循环都查询 DOM
for (let i = 0; i < 100; i++) {
document.getElementById('myList').innerHTML += `Item ${i}`;
}
// 推荐的实践:缓存 DOM 引用
const listElement = document.getElementById('myList');
let listHTML = '';
for (let i = 0; i < 100; i++) {
listHTML += `Item ${i}`;
}
// 只进行一次 DOM 写入操作
listElement.innerHTML = listHTML;
3.1.2 使用文档片段 (DocumentFragment)
当你需要向 DOM 中添加多个元素时,可以先将它们添加到一个离线的 DocumentFragment 中,然后一次性将该片段添加到主 DOM 树,这样只会触发一次重排。
const listElement = document.getElementById('myList');
const fragment = document.createDocumentFragment();
for (let i = 0; i < 100; i++) {
const li = document.createElement('li');
li.textContent = `Item ${i}`;
fragment.appendChild(li); // 在内存中操作,不影响页面
}
// 所有子元素创建完毕后,一次性添加到真实 DOM 中
listElement.appendChild(fragment);
3.2 避免滥用全局变量
全局变量会污染全局命名空间,容易导致命名冲突,且难以追踪其值的变化,使代码调试变得困难。
- 替代方案:
- 优先使用
let和const在块级作用域或函数作用域内声明变量。 - 使用闭包创建私有变量。
- 使用 ES6 模块将变量和函数封装在模块内部,仅导出需要暴露的接口。
- 优先使用
3.3 使用高效的循环
虽然现代 JavaScript 引擎优化得很好,但在处理超大规模数据集时,循环方式的选择仍有细微影响。通常,for 循环比 forEach 等迭代方法性能稍好。但更重要的是可读性,除非遇到性能瓶颈,否则应优先选择更清晰的写法。
四、基本的 Web 安全意识
编写的代码不仅要服务于正常用户,还要能抵御恶意攻击。作为前端开发者,最需要警惕的就是跨站脚本攻击(Cross-Site Scripting, XSS)。
4.1 跨站脚本攻击 (XSS) 简介
4.1.1 XSS 是什么?
XSS 攻击指恶意攻击者往 Web 页面里插入恶意 JavaScript 代码,当用户浏览该页之时,嵌入其中的 JavaScript 代码会被执行,从而达到恶意攻击用户的目的(如窃取 Cookie、监听用户行为等)。
4.1.2 一个危险的例子
假设你有一个评论区,用户提交的评论内容会直接显示在页面上。
const userInput = '
';
const commentContainer = document.getElementById('comment-display');
// 极度危险的操作!
// 浏览器会尝试加载图片,失败后执行 onerror 中的恶意脚本
commentContainer.innerHTML = userInput;
4.1.3 如何防御 XSS?
防御 XSS 的核心原则是:永远不要相信用户的任何输入,并对所有需要输出到页面的数据进行适当的处理。
(1) 使用 textContent 代替 innerHTML
如果你只是想把用户的输入作为纯文本显示,textContent 是最安全、最简单的选择。它会自动对所有字符进行转义,使其不被当作 HTML 解析。
const userInput = '
';
const commentContainer = document.getElementById('comment-display');
// 安全的操作
commentContainer.textContent = userInput;
// 页面上会显示字符串 "",而不会执行脚本
(2) 对输出进行 HTML 编码
如果确实需要显示用户输入的富文本内容,必须对其中的 HTML 标签进行严格的过滤和转义,只允许安全的标签和属性存在。通常这需要借助成熟的第三方库(如 DOMPurify)来完成,手动实现非常复杂且容易出错。
五、总结
编写高质量的 JavaScript 代码是一项综合性的技能,它超越了语法本身,更多的是一种工程思维和良好习惯的体现。今天我们探讨了提升代码质量的四大支柱,让我们再次回顾核心要点:
- 可读性是第一要务:坚持有意义的命名、编写阐述“为什么”的注释,并保持一致的代码格式。代码首先是写给人看的。
- 善用自动化工具:集成 ESLint 和 Prettier 到你的开发流程中,让它们成为你不知疲倦的代码质量守护者,保证团队协作的顺畅。
- 心存性能意识:在日常开发中养成性能优化的习惯,尤其是减少昂贵的 DOM 操作和避免滥用全局变量,能为用户带来更流畅的体验。
- 安全底线不可破:建立基本的 Web 安全观,特别是警惕 XSS 攻击。牢记“不信任用户输入”的原则,优先使用
textContent处理数据展示。
从今天起,让我们不仅满足于写出“能跑”的代码,更要追求编写出让自己和他人赏心悦目的“优雅”代码。这是一个持续精进的过程,也是你从初学者迈向专业工程师的必经之路。