面试题答案
一键面试1. 处理动态导入
- 使用
import()并结合 Promise 管理:在动态导入时,使用import()语法,它返回一个 Promise。例如:
async function loadModule() {
try {
const module = await import('./dynamicModule.js');
// 使用 module 中的内容
} catch (error) {
// 处理导入失败的情况
}
}
- 限制动态导入的路径:只允许从受信任的路径进行动态导入。可以在构建时或者运行时检查导入路径是否在允许列表内。例如,在Node.js环境下,可以在自定义的加载钩子中进行路径验证。
2. 模块作用域隔离
- ES6 模块本身的作用域特性:ES6 模块具有自己独立的作用域,顶层变量不会污染全局作用域。确保代码编写遵循模块规范,不滥用全局变量。例如:
// module1.js
let localVar = 'This is local to module1';
export function printLocal() {
console.log(localVar);
}
- 避免意外的全局变量泄露:在模块内部,如果需要使用全局对象,通过
window(浏览器环境)或global(Node.js环境)明确引用,而不是隐式创建全局变量。
3. 防止模块劫持
- 构建时依赖分析与锁定:使用工具如
npm shrinkwrap(npm)或yarn.lock(yarn)锁定依赖版本,确保每次构建使用相同版本的模块,避免恶意版本替换。 - 代码审查与验证:在引入第三方模块前,进行代码审查,检查模块来源的合法性和安全性。可以使用工具如
snyk来检测模块中的安全漏洞。 - 内容安全策略(CSP):在浏览器环境中,使用 CSP 限制脚本的来源,防止加载恶意脚本劫持模块。例如,在HTML中设置
Content - Security - Policy头:
<meta http - equiv="Content - Security - Policy" content="default - src'self'">
这将只允许从当前源加载脚本,减少模块被劫持的风险。
4. 跨环境和构建工具的通用策略
- 使用标准的构建工具配置:如Webpack、Rollup等,这些工具都有相应的插件和配置选项来实现上述安全优化。例如,Webpack的
terser - webpack - plugin可以在构建时进行代码压缩和优化,同时有助于防止模块劫持。 - 遵循最佳实践和社区规范:关注JavaScript社区的安全最佳实践,及时更新依赖和工具,以应对新出现的安全问题。例如,关注ES6模块规范的更新以及相关安全建议。