localStorage的黑科技-js和css缓存机制


Posted in Javascript onFebruary 06, 2017

一、发现黑科技的起因

今天在微信公众号看到一篇技术博文,想用印象笔记收藏,所以发送了文章链接到pc上。然后习惯性地打开控制台,看看源码,想了解下最近微信用了什么新技术。

呵呵,以下勾起了我侦探的欲望。页面加载后的异常点就是只加载了一个js,如下图所示:

localStorage的黑科技-js和css缓存机制

我很诧异,为什么已经开启了Disable cache,js只加载了一个,而且体积这么小。接着,我按住Ctrl+O进行资源文件查找,发现我被“忽悠”了。其实根本就不止一个js文件。

localStorage的黑科技-js和css缓存机制

脑袋里灵光一闪,不会是用localStorage做了缓存吧?!赶紧看了下localStronge,还真是。。。。

localStorage的黑科技-js和css缓存机制

心里一阵澎湃,这不是我之前就想实现的加载性能优化的想法吗!乖乖,我孤陋寡闻了,已经有前端团队实现了代码。

二、谈谈文件加载方面的优化思路

通常,前端的资源文件加载优化,就是在文件不修改迭代的情况下,尽可能多地利用缓存,避免多次下载同样的文件。

一般的做法就是尽量延长资源的有效期,也就是设置 Cache-Control里的max-age,使页面资源请求的返回码为304,让浏览器直接使用本地缓存。

虽然pc端的协商缓存(304)很快,但手机端因为网络原因,协商缓存的效果就没pc端那么好了。而且,手机会经常清除本地缓存,所以文件缓存的时间也不会很长。

这个时候,localStorage就派上用场了。

localStorage相比cookie,可以缓存大体积的数据,而且是永久有效。所以,如果把js资源和css资源存储在localStorage中,则可以省去发送http请求所消耗的时间,大大提高用户的浏览体验。

三、用localStorage做资源缓存需要解决的问题

3.1 版本更新机制

只要一个项目还在迭代开发,就难以避免需要更新资源文件。

普通的资源请求,可以根据

文件名+md5 http://res.wx.qq.com/mmbizwap/zh_CN/htmledition/js/biz_wap/moon32ebc4.js

或者

在资源链接后面加上特定的后缀http://1.ss.faisys.com/js/comm/fai.min.js?v=201612051739

做标识来判断是否需要更新资源。

如果用localStorage做,则需要一套新的缓存更新机制。

3.2 搭建更新代码的脚手架

使用localStorage缓存,则需要一个新的脚手架来管理资源文件的读取和写入。

3.3 后台输出一份资源配置信息

因为需要前端做资源更新,所以后台要输出一份依据给前端做判断用,也就是需要一份资源配置信息。前端根据配置信息,进行匹配和比较,最终决定 使用localStorage缓存,还是重新发起请求,下载最新的资源文件。

3.4 存在XSS安全隐患

localStorage中的信息,客户端是可以任意修改的。如果哪个黑客想练手一下,可以任意注入js代码。那么,在页面刷新的时候,注入的代码也将会被执行。

四、微信的做法解析

4.1 版本标识

localStorage的黑科技-js和css缓存机制

以__MOON__a/a_report.js为例,版本信息用key __MOON__a/a_report.js_ver存储,存储的value为//res.wx.qq.com/mmbizwap/zh_CN/htmledition/js/a/a_report32e586.js。

如果按普通加载方式,直接将该value取出来,设置到script节点的src属性,即可完成加载。

微信判断该版本是否最新,就是用该value值与后台输出的配置信息进行比较,最后得出是否更新的结果。

如果value值与配置信息一致,则使用缓存。否则,重新发起请求加载。

4.2 脚手架

可以看出,微信使用的是自己开发的脚手架moon.js,在这个网页中的实际文件名是moon32ebc4.js。

因为是混淆过变量名的文件,所以要看出具体代码的走向,有点费劲,这里就不做分析了。

4.3 资源配置信息

因为脚手架moon.js需要资源配置信息才能正常工作,所以配置信息一定会在moon.js之前输出。

依次查看moon.js之前的script标签,发现了window.moon_map这个json对象。

localStorage的黑科技-js和css缓存机制

利用控制台输出该变量查看信息如下:

localStorage的黑科技-js和css缓存机制

看到这里,可以明确一个点:这就是更新机制所必备的资源配置信息表了。

而且,可以看出,该配置信息json对象的key,就对应localStorage中的key。同理,value值也是一一对应。

4.4 XSS攻击

此处是为了验证微信的缓存机制是否存在XSS攻击,看到这里的童鞋可千万不要去做坏事。

我在一个js缓存代码中,插入alert("hehe");,看页面刷新的时候,是否会出现该弹窗,来验证是否存在攻击漏洞。

localStorage的黑科技-js和css缓存机制

刷新页面后,结果如下图:

localStorage的黑科技-js和css缓存机制

可以看出,微信也没有解决这类问题。所以,这种缓存机制,还是有先天不足的。

4.5 测试微信的更新机制

修改localStorage中 key __MOON__a/a_report.js_ver对应的value值,让微信的脚手架moon.js更新__MOON__a/a_report.js,刷掉我刚才主动插入的代码。

这里,我修改文件名为***587.js(原来的文件名为***586.js)。接着F5刷新页面。

结果为:report.js代码更新了,版本号也恢复回 ***586.js

localStorage的黑科技-js和css缓存机制

五、结论

localStorage缓存有其用武之地,但不是万能的。需要注意以上提及的坑。

可以应用的场景我归纳为以下几点:

1. 非首屏渲染需要的css文件,可以做LS缓存。

首屏渲染需要的css,需要按常规方式输出,因为SEO需要,不然爬虫爬取页面的时候,页面效果会很不好。而非首屏的css,则可以用LS缓存,减少资源下载时间。

2. 展示类、动画类等非业务主要逻辑的代码,可以做LS缓存。

这样,可以一定程度上避免业务层的安全漏洞。当然,前端再怎么做防护都是一层薄纸。重要的,还是后台接口要做好安全保护。

3. 移动端可以做LS缓存。PC端做LS缓存,起到的优化作用不大。

以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,同时也希望多多支持三水点靠木!

Javascript 相关文章推荐
JavaScript中令你抓狂的魔术变量
Nov 30 Javascript
javascript 无提示关闭窗口脚本
Aug 17 Javascript
javascript+iframe 实现无刷新载入整页的代码
Mar 17 Javascript
js获取微信版本号的方法
May 12 Javascript
javascript简易画板开发
Apr 12 Javascript
mongoose更新对象的两种方法示例比较
Dec 19 Javascript
JavaScript事件发布/订阅模式原理与用法分析
Aug 21 Javascript
js限制input只能输入有效的数字(第一个不能是小数点)
Sep 28 Javascript
理理Vue细节(推荐)
Apr 16 Javascript
Vuex新手的理解与使用详解
May 31 Javascript
教你30秒发布一个TypeScript包到NPM的方法步骤
Jul 22 Javascript
vue使用微信扫一扫功能的实现代码
Apr 11 Javascript
jQuery快速实现商品数量加减的方法
Feb 06 #Javascript
jQuery EasyUI 页面加载等待及页面等待层
Feb 06 #Javascript
jQuery内容筛选选择器实例代码
Feb 06 #Javascript
jQuery基本筛选选择器实例代码
Feb 06 #Javascript
jQuery层级选择器实例代码
Feb 06 #Javascript
jQuery元素选择器实例代码
Feb 06 #Javascript
对称加密与非对称加密优缺点详解
Feb 06 #Javascript
You might like
自动分页的不完整解决方案
2007/01/12 PHP
php 中文字符入库或显示乱码问题的解决方法
2010/04/12 PHP
PHP extract 将数组拆分成多个变量的函数
2010/06/30 PHP
php5.3 注意事项说明
2013/07/01 PHP
php遍历树的常用方法汇总
2015/06/18 PHP
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
2020/02/15 PHP
javascript 面向对象全新理练之继承与多态
2009/12/03 Javascript
JQuery 文本框使用小结
2010/05/22 Javascript
利用jquery的获取JS文件中的字符串内容
2012/02/14 Javascript
通过pjax实现无刷新翻页(兼容新版jquery)
2014/01/31 Javascript
JavaScript实现当网页加载完成后执行指定函数的方法
2015/03/21 Javascript
javascript学习笔记之函数定义
2015/06/25 Javascript
值得分享的Bootstrap Ace模板实现菜单和Tab页效果
2015/12/30 Javascript
jQuery.ajax实现根据不同的Content-Type做出不同的响应
2016/11/03 Javascript
JS实现点击循环切换显示内容的方法
2017/10/19 Javascript
Vim快速合并行及vim 将文件所有行合并到一行
2017/11/27 Javascript
js中null与空字符串""的区别讲解
2019/01/17 Javascript
对layui中table组件工具栏的使用详解
2019/09/19 Javascript
javascript使用canvas实现饼状图效果
2020/09/08 Javascript
python列表操作实例
2015/01/14 Python
Python生成随机密码的方法
2017/06/16 Python
Python pyinotify模块实现对文档的实时监控功能方法
2018/10/13 Python
Python JSON格式数据的提取和保存的实现
2019/03/22 Python
Tensorflow实现部分参数梯度更新操作
2020/01/23 Python
python实现密码强度校验
2020/03/18 Python
Python对excel的基本操作方法
2021/02/18 Python
纯css3(无图片/js)制作的几个社交媒体网站的图标
2013/03/21 HTML / CSS
澳大利亚最超值的自行车之家:Reid Cycles
2019/03/24 全球购物
试解释COMMIT操作和ROLLBACK操作的语义
2014/07/25 面试题
大学生自荐信
2013/12/11 职场文书
七年级数学教学反思
2014/01/22 职场文书
益达广告词
2014/03/14 职场文书
班级学雷锋活动总结
2014/06/26 职场文书
酒店客房服务员岗位职责
2015/04/09 职场文书
搞笑结婚保证书
2015/05/08 职场文书
教你怎么用Python处理excel实现自动化办公
2021/04/30 Python