整合营销服务商
电脑端+手机端+微信端=数据同步管理
免费咨询热线:
电脑端+手机端+微信端=数据同步管理
免费咨询热线:
么是无头浏览器(headless browser)?
无头浏览器是指可以在图形界面情况下运行的浏览器。我可以通过编程来控制无头浏览器自动执行各种任务,比如做测试,给网页截屏等。
“无头”这个词来源于最初的“无头计算机(Headless computer)”。维基百科关于的“无头计算机”词条:
无头系统(headless system)是指已配置为无须显示器(即“头”)、键盘和鼠标操作的计算机系统或设备。无头系统通常通过网络连接控制,但也有部分无头系统的设备需要通过RS-232串行连接进行设备的管理。服务器通常采用无头模式以降低运作成本。
除了之前提到的两种无害的使用案例,无头浏览器可以被用来自动执行恶意任务。最常见的形式是做网络爬虫,或伪装访问量,或探测网站漏洞。
一个非常流行的无头浏览器是PhantomJS,因为它是基于 Qt 框架,所以跟我们常见的浏览器相比有很多不同的特征,因此有很多方法判断出它。
但是,从chrome 59开始,谷歌发布了一款无头谷歌浏览器。它跟PhantomJS不同,它是基于正统的谷歌浏览器开发出来的,不是基于其它的框架,这让程序很难区分出它是正常浏览器还是无头浏览器。
下面,我们将介绍几种判断程序是运行在普通浏览器还是无头浏览器里的方法。
注意:这些方法只是在四种设备 (2 Linux, 2 Mac) 里测试过,也就是说, 肯定还有其他很多方法检测无头浏览器。
先介绍使用做最常见的一种判断浏览器种类的方法,检查User agent。在linux计算机里Chrome version 59无头浏览器的User agent值是:
“Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) HeadlessChrome/59.0.3071.115 Safari/537.36”
于是,我们可以这样检测是否是无头Chrome浏览器:
if (/HeadlessChrome/.test(window.navigator.userAgent)) {
console.log("Chrome headless detected");
}User agent 也可以从 HTTP headers 里获取。然而,这两种情况都很容易伪造。
navigator.plugins 会返回一个数组,里面是当前浏览器里的插件信息。通常,普通Chrome浏览器有一些缺省插件,比如 Chrome PDF viewer 或 Google Native Client。相反,在无头模式里,没有任何插件,返回的是个空数组。
if(navigator.plugins.length==0) {
console.log("It may be Chrome headless");
}在谷歌浏览器里,有两个JavaScript属性可以获取当前浏览器的语言设置: navigator.language 和 navigator.languages。头一个是指浏览器界面的语言,后一个返回的是个数组,里面存储的是浏览器用户的所有次选语言。然而,在无头模式里,navigator.languages 返回的是个空字符串。
if(navigator.languages=="") {
console.log("Chrome headless detected");
}WebGL 提供了一组能在HTML canvas 里执行3D渲染的API。通过这些API,我们可以查询出图形驱动的 vendor 和 renderer 。
在linux上的普通谷歌浏览器里,我们获得的 renderer 和 vendor 值为: “Google SwiftShader” 和 “Google Inc.”。
而在无头模式里,我们获得的一个是 “Mesa OffScreen”——它是没有使用任何 window 系统的渲染技术的名称,和 “Brian Paul” ——开源 Mesa 图形库的最初的程序。
var canvas=document.createElement('canvas');
var gl=canvas.getContext('webgl');
var debugInfo=gl.getExtension('WEBGL_debug_renderer_info');
var vendor=gl.getParameter(debugInfo.UNMASKED_VENDOR_WEBGL);
var renderer=gl.getParameter(debugInfo.UNMASKED_RENDERER_WEBGL);
if(vendor=="Brian Paul" && renderer=="Mesa OffScreen") {
console.log("Chrome headless detected");
}并不是所有版本的无头浏览器都有同样的这两个值。然而目前在无头浏览器里是“Mesa Offscreen” 和 “Brian Paul” 这两个值。
Modernizr 可以探测出当前浏览器对HTML和CSS各种特性的支持程度。我发现,普通Chrome和无头Chrome里唯一的区别是,无头模式下没有 hairline 特征,它是用来检测是否支持 hidpi/retina hairlines的
if(!Modernizr["hairline"]) {
console.log("It may be Chrome headless");
}最后,我发现的最后一个方法,也是看起来最有效的方法,切入点是检查浏览器里不能正常加载的图片的高和宽。
在正常的Chrome里,未成功加载的图片的大小跟浏览器的zoom有关,但肯定不是零。而在无头Chrome浏览器里,这种图片的宽和高都是0。
?
var body=document.getElementsByTagName("body")[0];
var image=document.createElement("img");
image.src="http://iloveponeydotcom32188.jg";
image.setAttribute("id", "fakeimage");
body.appendChild(image);
image.onerror=function(){
if(image.width==0 && image.height==0) {
console.log("Chrome headless detected");
}
} 这就是检测无头浏览器的详细步骤
这里小编是一个有着10年工作经验的前端高级工程师,关于web前端有许多的技术干货,包括但不限于各大厂的最新面试题系列、前端项目、最新前端路线等。需要的伙伴可以私信我
发送【前端资料】
就可以获取领取地址,免费送给大家。对于学习web前端有任何问题(学习方法,学习效率,如何就业)都可以问我。希望你也能凭自己的努力,成为下一个优秀的程序员
者 | 浪里行舟
责编 | 胡巍巍
在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?本文主要侧重于分析几种常见的攻击的类型以及防御的方法。
XSS
XSS (Cross-Site Scripting),跨站脚本攻击,因为缩写和 CSS重叠,所以只能叫 XSS。跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。
跨站脚本攻击有可能造成以下影响:
XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。
XSS 的攻击方式千变万化,但还是可以大致细分为几种类型。
1.非持久型 XSS(反射型 XSS )
非持久型 XSS 漏洞,一般是通过给别人发送带有恶意脚本代码参数的 URL,当 URL 地址被打开时,特有的恶意代码参数被 HTML 解析、执行。
举一个例子,比如页面中包含有以下代码:
1<select>
2 <script>
3 document.write(''
4 + '<option value=1>'
5 + location.href.substring(location.href.indexOf('default=') + 8)
6 + '</option>'
7 );
8 document.write('<option value=2>English</option>');
9 </script>
10</select>
攻击者可直接通过URL (类似:https://xxx.com/xxx?default=<script>alert(document.cookie)</script>) 注入可执行的脚本代码。不过一些浏览器如Chrome其内置了一些XSS过滤器,可以防止大部分反射型XSS攻击。
非持久型 XSS 漏洞攻击有以下几点特征:
为了防止出现非持久型 XSS 漏洞,需要确保这么几件事情:
2.持久型 XSS(存储型 XSS)
持久型 XSS 漏洞,一般存在于 Form 表单提交等交互功能,如文章留言,提交文本信息等,黑客利用的 XSS 漏洞,将内容经正常功能提交进入数据库持久保存,当前端页面获得后端从数据库中读出的注入代码时,恰好将其渲染执行。
举个例子,对于评论功能来说,就得防范持久型 XSS 攻击,因为我可以在评论中输入以下内容
主要注入页面方式和非持久型 XSS 漏洞类似,只不过持久型的不是来源于 URL,referer,forms 等,而是来源于后端从数据库中读出来的数据 。持久型 XSS 攻击不需要诱骗点击,黑客只需要在提交表单的地方完成注入即可,但是这种 XSS 攻击的成本相对还是很高。
攻击成功需要同时满足以下几个条件:
持久型 XSS 有以下几个特点:
3.如何防御
对于 XSS 攻击来说,通常有两种方式可以用来防御。
1) CSP
CSP 本质上就是建立白名单,开发者明确告诉浏览器哪些外部资源可以加载和执行。我们只需要配置规则,如何拦截是由浏览器自己实现的。我们可以通过这种方式来尽量减少 XSS 攻击。
通常可以通过两种方式来开启 CSP:
这里以设置 HTTP Header 来举例:
1Content-Security-Policy: default-src 'self'
1Content-Security-Policy: img-src https://*
1Content-Security-Policy: child-src 'none'
如需了解更多属性,请查看Content-Security-Policy文档
对于这种方式来说,只要开发者配置了正确的规则,那么即使网站存在漏洞,攻击者也不能执行它的攻击代码,并且 CSP 的兼容性也不错。
2) 转义字符
用户的输入永远不可信任的,最普遍的做法就是转义输入输出的内容,对于引号、尖括号、斜杠进行转义
1function escape(str) {
2 str=str.replace(/&/g, '&')
3 str=str.replace(/</g, '<')
4 str=str.replace(/>/g, '>')
5 str=str.replace(/"/g, '&quto;')
6 str=str.replace(/'/g, ''')
7 str=str.replace(/`/g, '`')
8 str=str.replace(/\//g, '/')
9 return str
10}
但是对于显示富文本来说,显然不能通过上面的办法来转义所有字符,因为这样会把需要的格式也过滤掉。对于这种情况,通常采用白名单过滤的办法,当然也可以通过黑名单过滤,但是考虑到需要过滤的标签和标签属性实在太多,更加推荐使用白名单的方式。
1const xss=require('xss')
2let html=xss('<h1 id="title">XSS Demo</h1><script>alert("xss");</script>')
3// -> <h1>XSS Demo</h1><script>alert("xss");</script>
4console.log(html)
以上示例使用了 js-xss 来实现,可以看到在输出中保留了 h1 标签且过滤了 script 标签。
3) HttpOnly Cookie。
这是预防XSS攻击窃取用户cookie最有效的防御手段。Web应用程序在设置cookie时,将其属性设为HttpOnly,就可以避免该网页的cookie被客户端恶意JavaScript窃取,保护用户cookie信息。
CSRF
CSRF(Cross Site Request Forgery),即跨站请求伪造,是一种常见的Web攻击,它利用用户已登录的身份,在用户毫不知情的情况下,以用户的名义完成非法操作。
1.CSRF攻击的原理
下面先介绍一下CSRF攻击的原理:
完成 CSRF 攻击必须要有三个条件:
我们来看一个例子: 当我们登入转账页面后,突然眼前一亮惊现"XXX隐私照片,不看后悔一辈子"的链接,耐不住内心躁动,立马点击了该危险的网站(页面代码如下图所示),但当这页面一加载,便会执行submitForm这个方法来提交转账请求,从而将10块转给黑客。
2.如何防御
防范 CSRF 攻击可以遵循以下几种规则:
1) SameSite
可以对 Cookie 设置 SameSite 属性。该属性表示 Cookie 不随着跨域请求发送,可以很大程度减少 CSRF 的攻击,但是该属性目前并不是所有浏览器都兼容。
2) Referer Check
HTTP Referer是header的一部分,当浏览器向web服务器发送请求时,一般会带上Referer信息告诉服务器是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。可以通过检查请求的来源来防御CSRF攻击。正常请求的referer具有一定规律,如在提交表单的referer必定是在该页面发起的请求。所以通过检查http包头referer的值是不是这个页面,来判断是不是CSRF攻击。
但在某些情况下如从https跳转到http,浏览器处于安全考虑,不会发送referer,服务器就无法进行check了。若与该网站同域的其他网站有XSS漏洞,那么攻击者可以在其他网站注入恶意脚本,受害者进入了此类同域的网址,也会遭受攻击。出于以上原因,无法完全依赖Referer Check作为防御CSRF的主要手段。但是可以通过Referer Check来监控CSRF攻击的发生。
3) Anti CSRF Token
目前比较完善的解决方案是加入Anti-CSRF-Token。即发送请求时在HTTP 请求中以参数的形式加入一个随机产生的token,并在服务器建立一个拦截器来验证这个token。服务器读取浏览器当前域cookie中这个token值,会进行校验该请求当中的token和cookie当中的token值是否都存在且相等,才认为这是合法的请求。否则认为这次请求是违法的,拒绝该次服务。
这种方法相比Referer检查要安全很多,token可以在用户登陆后产生并放于session或cookie中,然后在每次请求时服务器把token从session或cookie中拿出,与本次请求中的token 进行比对。由于token的存在,攻击者无法再构造出一个完整的URL实施CSRF攻击。但在处理多个页面共存问题时,当某个页面消耗掉token后,其他页面的表单保存的还是被消耗掉的那个token,其他页面的表单提交时会出现token错误。
4) 验证码
应用程序和用户进行交互过程中,特别是账户交易这种核心步骤,强制用户输入验证码,才能完成最终请求。在通常情况下,验证码够很好地遏制CSRF攻击。但增加验证码降低了用户的体验,网站不能给所有的操作都加上验证码。所以只能将验证码作为一种辅助手段,在关键业务点设置验证码。
点击劫持
点击劫持是一种视觉欺骗的攻击手段。攻击者将需要攻击的网站通过 iframe 嵌套的方式嵌入自己的网页中,并将 iframe 设置为透明,在页面中透出一个按钮诱导用户点击。
1. 特点
2. 点击劫持的原理
用户在登陆 A 网站的系统后,被攻击者诱惑打开第三方网站,而第三方网站通过 iframe 引入了 A 网站的页面内容,用户在第三方网站中点击某个按钮(被装饰的按钮),实际上是点击了 A 网站的按钮。
接下来我们举个例子:我在优酷发布了很多视频,想让更多的人关注它,就可以通过点击劫持来实现
1iframe {
2width: 1440px;
3height: 900px;
4position: absolute;
5top: -0px;
6left: -0px;
7z-index: 2;
8-moz-opacity: 0;
9opacity: 0;
10filter: alpha(opacity=0);
11}
12button {
13position: absolute;
14top: 270px;
15left: 1150px;
16z-index: 1;
17width: 90px;
18height:40px;
19}
20</style>
21......
22<button>点击脱衣</button>
23<img src="http://pic1.win4000.com/wallpaper/2018-03-19/5aaf2bf0122d2.jpg">
24<iframe src="http://i.youku.com/u/UMjA0NTg4Njcy" scrolling="no"></iframe>
从上图可知,攻击者通过图片作为页面背景,隐藏了用户操作的真实界面,当你按耐不住好奇点击按钮以后,真正的点击的其实是隐藏的那个页面的订阅按钮,然后就会在你不知情的情况下订阅了。
3. 如何防御
1)X-FRAME-OPTIONS
X-FRAME-OPTIONS是一个 HTTP 响应头,在现代浏览器有一个很好的支持。这个 HTTP 响应头 就是为了防御用 iframe 嵌套的点击劫持攻击。
该响应头有三个值可选,分别是
2)JavaScript 防御
对于某些远古浏览器来说,并不能支持上面的这种方式,那我们只有通过 JS 的方式来防御点击劫持了。
1<head>
2 <style id="click-jack">
3 html {
4 display: none !important;
5 }
6 </style>
7</head>
8<body>
9 <script>
10 if (self==top) {
11 var style=document.getElementById('click-jack')
12 document.body.removeChild(style)
13 } else {
14 top.location=self.location
15 }
16 </script>
17</body>
以上代码的作用就是当通过 iframe 的方式加载页面时,攻击者的网页直接不显示所有内容了。
URL跳转漏洞
定义:借助未验证的URL跳转,将应用程序引导到不安全的第三方区域,从而导致的安全问题。
1.URL跳转漏洞原理
黑客利用URL跳转漏洞来诱导安全意识低的用户点击,导致用户信息泄露或者资金的流失。其原理是黑客构建恶意链接(链接需要进行伪装,尽可能迷惑),发在QQ群或者是浏览量多的贴吧/论坛中。
安全意识低的用户点击后,经过服务器或者浏览器解析后,跳到恶意的网站中。
恶意链接需要进行伪装,经常的做法是熟悉的链接后面加上一个恶意的网址,这样才迷惑用户。
诸如伪装成像如下的网址,你是否能够识别出来是恶意网址呢?
1http://gate.baidu.com/index?act=go&url=http://t.cn/RVTatrd 2http://qt.qq.com/safecheck.html?flag=1&url=http://t.cn/RVTatrd 3http://tieba.baidu.com/f/user/passport?jumpUrl=http://t.cn/RVTatrd
2.实现方式:
这里我们举个Header头跳转实现方式:
1<?php
2$url=$_GET['jumpto'];
3header("Location: $url");
4?>
1http://www.wooyun.org/login.php?jumpto=http://www.evil.com
这里用户会认为www.wooyun.org都是可信的,但是点击上述链接将导致用户最终访问www.evil.com这个恶意网址。
3.如何防御
1)referer的限制
如果确定传递URL参数进入的来源,我们可以通过该方式实现安全限制,保证该URL的有效性,避免恶意用户自己生成跳转链接
2)加入有效性验证Token
我们保证所有生成的链接都是来自于我们可信域的,通过在生成的链接里加入用户不可控的Token对生成的链接进行校验,可以避免用户生成自己的恶意链接从而被利用,但是如果功能本身要求比较开放,可能导致有一定的限制。
SQL注入
SQL注入是一种常见的Web安全漏洞,攻击者利用这个漏洞,可以访问或修改数据,或者利用潜在的数据库漏洞进行攻击。
1.SQL注入的原理
我们先举一个万能钥匙的例子来说明其原理:
1<form action="/login" method="POST"> 2 <p>Username: <input type="text" name="username" /></p> 3 <p>Password: <input type="password" name="password" /></p> 4 <p><input type="submit" value="登陆" /></p> 5</form>
后端的 SQL 语句可能是如下这样的:
1let querySQL=`
2 SELECT *
3 FROM user
4 WHERE username='${username}'
5 AND psw='${password}'
6`;
7// 接下来就是执行 sql 语句...
8
这是我们经常见到的登录页面,但如果有一个恶意攻击者输入的用户名是 admin' --,密码随意输入,就可以直接登入系统了。why! ----这就是SQL注入。
我们之前预想的SQL 语句是:
1SELECT * FROM user WHERE username='admin' AND psw='password'
但是恶意攻击者用奇怪用户名将你的 SQL 语句变成了如下形式:
1SELECT * FROM user WHERE username='admin' --' AND psw='xxxx'
在 SQL 中,' --是闭合和注释的意思,-- 是注释后面的内容的意思,所以查询语句就变成了:
1SELECT * FROM user WHERE username='admin'
所谓的万能密码,本质上就是SQL注入的一种利用方式。
一次SQL注入的过程包括以下几个过程:
SQL注入的必备条件: 1.可以控制输入的数据 2.服务器要执行的代码拼接了控制的数据。
我们会发现SQL注入流程中与正常请求服务器类似,只是黑客控制了数据,构造了SQL查询,而正常的请求不会SQL查询这一步,SQL注入的本质:数据和代码未分离,即数据当做了代码来执行。
2.危害
3.如何防御
OS命令注入攻击
OS命令注入和SQL注入差不多,只不过SQL注入是针对数据库的,而OS命令注入是针对操作系统的。OS命令注入攻击指通过Web应用,执行非法的操作系统命令达到攻击的目的。只要在能调用Shell函数的地方就有存在被攻击的风险。倘若调用Shell时存在疏漏,就可以执行插入的非法命令。
命令注入攻击可以向Shell发送命令,让Windows或Linux操作系统的命令行启动程序。也就是说,通过命令注入攻击可执行操作系统上安装着的各种程序。
1.原理
黑客构造命令提交给web应用程序,web应用程序提取黑客构造的命令,拼接到被执行的命令中,因黑客注入的命令打破了原有命令结构,导致web应用执行了额外的命令,最后web应用程序将执行的结果输出到响应页面中。
我们通过一个例子来说明其原理,假如需要实现一个需求:用户提交一些内容到服务器,然后在服务器执行一些系统命令去返回一个结果给用户
1// 以 Node.js 为例,假如在接口中需要从 github 下载用户指定的 repo
2const exec=require('mz/child_process').exec;
3let params={/* 用户输入的参数 */};
4exec(`git clone ${params.repo} /some/path`);
params.repo传入的是 https://github.com/admin/admin.github.io.git 确实能从指定的 git repo 上下载到想要的代码。
但是如果 params.repo 传入的是 https://github.com/xx/xx.git && rm -rf /* && 恰好你的服务是用 root 权限起的就糟糕了。
2.如何防御
参考资料
编者按】本文来自A List Apart,重点讲述了开发者如何应对琳琅满目的新技术。作者建议,开发者在接受新概念的同时,更要重视对原始浏览器的支持,并增强用户体验的开发。
将Web视为应用平台的概念,正前所未有的流行着。但用来创建这些所谓“Web应用”的工具仍存在许多经常被我们忽视或误解的陷阱。单页面Web应用框架已得到极大关注,我们可以借助这些框架创建一些复杂的高性能应用,与传统网站相比,这些应用更可靠且交互更加丰富。但所有的这些益处,以及随之而来的思维模式和开发方式的转变,是以牺牲浏览器的基本功能为代价的,Web开发者们有时却将其视为理所当然。
JavaScript可能非常脆弱
随着各家厂商不断地炒作这股热浪,我们可能误以为当用户的浏览器不能执行JavaScript时,并不需要为他们提供回退方案。用户的浏览器不能执行JavaScript一定事出有因,他们手动选择禁用JavaScript只是众多原因之一。维护英国政府网站的团队——政府数字服务(GDS)发现:每500位访问GOV.UK的用户中,有5人没有请求JavaScript,其中只有1人主动禁用了JavaScript,其他4人没有请求可能因为以下几个原因:企业代理服务器限制过高;高延迟导致JavaScript请求超时;甚或是一个没有被注意到的语法错误。
此外,CSS和HTML都可以优雅降级,而JavaScript却做不到。这意味着,如果开发者使用一个单一的ES6语法特性,甚或是调用一个没有经过验证的标准库函数,他们的JavaScript就很有可能在执行过程中终断或者根本就不执行。如果你使用JavaScript来增强网站,上面提到的这些问题尚且可以忍受,毕竟访问者仍然可以访问链接,可以提交表单,可以使用Web能提供的最原始功能;但如果JavaScript是网站必不可少的一部分时,无论是谁使用稍微过时的浏览器都可能获得一个空白页面,自然也没有人来解释页面为什么会变成空白。
语义结构仍然非常重要
自1993年Tim Berners-Lee设计HTML以来,HTML为相互关联的文档网定义了一个通用结构,也就是我们熟知的Web。渗透在这个通用结构中的语义含义为Web页面中包含的信息提供了计算机可以处理的上下文。从实际的意义来说,这些额外的信息增强了用户使用Web浏览器时的体验。举个例子,Web浏览器可以实现一个向用户的日历中添加使用time元素定义的事件的方法;屏幕阅读器可以用不同的方式通读一个列表或一段文字,对于人类来说,文档中的列表与段落看起来明显不一样,HTML提供的通用框架让计算机也能够清晰分辨列表与段落。
HTML暗含的语义含义使Web与诸如Cocoa、WPF以及Qt这样的原生应用环境有着不同的发展方向。结构化的信息对Web来说非常重要,因为我们需要通过多种方式访问Web信息。而当我创建一个iPhone应用时,我可以稳妥地假设每一个人都会用相同的方式去使用它。我的App总会以相同的方式呈现信息,并且我能够完全掌控信息在应用里的最终呈现。即使有些人通过VoiceOver(Apple为视障人群提供的辅助技术)与我的App进行交互,他们仍然可以与视力正常的用户一样:通过点击屏幕进行操作。唯一的不同是他们需要听文字而不是去阅读。
而这种方法在Web上却行不通。人们除了通过Web浏览器访问网站,还会通过类似Pocket、Instapaper这样的应用来消费网站内容,这些应用尝试使用Web页面的结构化信息来提取网站的相关内容。智能手表上的浏览器可能直接忽略你的布局,然后通过更适合一英寸屏幕的方式展现你的信息。未来的设备也许能够直接将网站提供的信息转化为人类大脑中的思维,这谁又会知道呢?回过头看,VoiceOver的工作原理是按顺序朗读用户指尖下排列的文字,然而Web屏幕阅读器则通读全部文档,忽略布局,并且通过HTML标签的标准化语义来推断文档含义。举个例子,最近推出的main元素(译者注:参考https://developer.mozilla.org/zh-CN/docs/Web/HTML/Element/main)用来定义文档的主体部分,Web屏幕阅读器可以读取并识别这样的标签。对于一个视觉正常的用户来说,通过Google Chrome访问你的网站时,无论你使用<main>或者是<div id=”main”>基本没有区别。但对于使用其它Web客户端的人来说,例如使用屏幕阅读器或Instapaper,main元素隐含的含义可以让软件更好地帮助他们浏览文档。
所以,开发一款Web应用不像为原生平台开发那么简单。在五个主流浏览器中确保应用能按照我们的需求正常工作并及时发布,对于Web平台来说还远远不够,我们需要在屏幕阅读器中测试我们的工作成果,需要重审我们的标记来确保应用能提供尽可能多的语义元数据——不仅需要协调已有的Web客户端,也要为将来可能出现的一切设备做准备。
单页面Web应用框架
当使用类似Angular和Ember这样的“单页面Web应用”框架时,流行的做法是把网站当成原生应用一样对待,如此一来,开发者们就很少会考虑到Web平台与众不同的一面。他们为用户作出的假设很容易彻底毁掉不满足假设的用户的真实体验。这种思维模式会导致什么后果?我们来看一个示例,并认真思考我最近在Patreon网站上发现的一个登录按钮(后来有改动):
<span class="patreon-button sub-section navigation-active" data-ng-click="triggerChangeWindow(navigation.login_url)">Log In</span>
Patreon那个相当标准的登录按钮表现得像一个链接,这里不需要特殊的JavaScript。
这个链接在我的Safari中可以正常运行,但是在除主流浏览器外的其它环境中,这个按钮完全不能使用。假设我们有一个称为WatchBrowse的智能手表浏览器,很可能它需要为用户显示一系列的列表链接来实现站内导航,因为这个特殊的智能手表没有光标用来与页面进行交互。HTML定义了一个在Web页面上创建链接的标准方式(a元素),WatchBrowse理论上可以在页面上列出每一个a标签和它的href属性以及内容,除非出现一个类似Patreon的网站,并且该网站决定回避Web标准并且重新实现浏览器的基本功能。
如果Patreon使用一个a标签而不是span标签,WatchBrowse大概可以找到链接并将它显示在列表中,你可以为链接模拟一个点击事件,当用户选中链接时进行跳转。但是如果让浏览器提前知晓链接将导向何处是否会更好?一个浏览器扩展可能通过页面上标签的href属性来查找链接,如果你想快速找到某人Twitter账户的链接,那么提供一个可以溯源的href属性就很实用。当链接的href属性不再是静态值,而是取决于任意的JavaScript点击句柄,这些有用的功能就无法实现了。
Patreon的网站是基于Angular建立的,Angular本身没有错,将HTML当做视图层并用这些框架去实现大概是导致Patreon糟糕决定的主要原因。
如果我们按照框架开发者在他们文档中推荐的方法创建相同的链接会怎样?一个更标准创建链接的方式看起来可能是这样的:
<a ng-href="/login">Log In</a>
当通过客户端JavaScript渲染到DOM中时,上面的代码被转换成这样:
<a ng-href="/login" class="ng-binding" href="/login">Log In</a>
Ember以相同的方式处理这个问题。一个链接在Ember模板中被这样定义:
{{#link-to sessions.new}}Log In{{/link-to}}当它被渲染到DOM中时,它变成这样:
<a id="ember-563" class="ember-view" href="/sessions/new">Log In</a>
Ember和Angular之后会拦截链接的点击事件,这样就可以不通过重载页面来渲染新的内容。至关重要的是,如果点击事件永远不被触发并且浏览器已经加载了href的值,那么对于用户来说点击链接只会带来一次额外的页面重载,看起来并不会有什么不同,因为Ember和Angular默认情况下不会尝试依照URL定义他们自己的路由来重新制造轮子。
然而,在当前的形式下,Ember和Angular仍然需要加载JavaScript来渲染他们的模板并且在第一时间创建那些连接。每500个访问使用Angular或Ember构建的网站中4人将会遭遇一次彻底白屏。
是否有一个解决方案?
如果在服务端渲染动态Web页面的内容,那么渲染功能的代码只需支持在服务器端运行。但Web页面放在客户端进行渲染时,相关代码需要支持每一台可能访问网站的客户端。开发者现在正逐步抛弃服务端渲染的做法,因为他们不能提供客户端渲染所带来的富应用体验。但是我认为在客户端应用的新世界中,服务端渲染尚有一席之地。
目前,开发者使用单页面Web应用框架需要针对加载JavaScript作出一个权衡。但在我看来,这些正是框架应该去解决的问题。作为Web开发者,我们有幸使用有史以来最通用的编程语言之一为Web编写应用代码。如果框架开发者能够夜以继日(不可否认任务非常艰辛)地使应用像在浏览器中一样地运行在Node中,服务器就可以完成初始页面渲染的任务,随后所有的任务由浏览器负责处理。当然,如果服务器可以将链接渲染成a标签的形式,就像Ember目前在客户端上实现的那样,那么就可以允许没有收到JavaScript的用户(无论出于什么样的原因)正常浏览网站。同样也可以通过在服务器(而不是在客户端)上运行所有的验证和子任务逻辑,使表单正常工作。如果框架维护者一开始就朝着这个方向努力,那么每一个使用该框架的开发者都可以立即将一个只能工作在最新Web浏览器中的应用转换为一种渐进增强的体验,这样做几乎可以兼容任何Web客户端——过去的、现在的、以及未来的。
渐进增强对于Web开发者来说早已是重要的一环,它使我们意识到对于Web体验来说内容是至关重要的一部分,任何针对用户体验的额外改进不应当破坏任何一个客户端访问Web页面所包含的内容。目前创建单页面应用的方法倾向于放弃这条准则,然而渐进增强和单页面应用从本质上来讲其实可以相互兼容。
事实上,这个领域已经有了不小的进步,例如,一个Ember内部的团队正在通过实现服务端渲染来改进Ember与搜索引擎的兼容性。但是由单页面Web应用引发的问题的解决方案并不能只依赖纯技术角度:人们看待Web的方式已成为一个日益严重的问题。将Web视为另一个应用平台的做法已司空见惯,但是Web所能做的比这多得多。无论访问者通过2000美元的iMac还是50美元的安卓平板,甚至在我们无法想象的未来,花费5美元就可以购买的Web客户端来访问,Web始终是一个通用信息平台。事实上,不牺牲小部分用户的体验对我们来说非常重要,如此一来我们可以在这个过程中稍微改进一下其余正在破坏Web普适性的体验。
作者:Ross Penman是一位来自苏格兰的web开发者和狂热的技术专家。2014年度新型人才网络奖决赛入围选手。Ross经常庆祝他的工作来促进科技领域的年轻人。他的Twitter内容与web开发和口袋怪兽训练有关。(译者:刘振涛,审校:陈秋歌)
*请认真填写需求信息,我们会在24小时内与您取得联系。
