<h2 id="6.1">浏览器的JavaScript引擎</h2>
## 浏览器的组成
浏览器的核心是两部分:渲染引擎和JavaScript解释器(又称JavaScript引擎)。
(1)渲染引擎
渲染引擎的主要作用是,将网页从代码”渲染“为用户视觉上可以感知的平面文档。不同的浏览器有不同的渲染引擎。
- Firefox:Gecko引擎
- Safari:WebKit引擎
- Chrome:Blink引擎
渲染引擎处理网页,通常分成四个阶段。
1. 解析代码:HTML代码解析为DOM,CSS代码解析为CSSOM(CSS Object Model)
1. 对象合成:将DOM和CSSOM合成一棵渲染树(render tree)
1. 布局:计算出渲染树的布局(layout)
1. 绘制:将渲染树绘制到屏幕
以上四步并非严格按顺序执行,往往第一步还没完成,第二步和第三步就已经开始了。所以,会看到这种情况:网页的HTML代码还没下载完,但浏览器已经显示出内容了。
(2)JavaScript引擎
JavaScript引擎的主要作用是,读取网页中的JavaScript代码,对其处理后运行。
本节主要介绍JavaScript引擎的工作方式。
## JavaScript代码嵌入网页的方法
JavaScript代码只有嵌入网页,才能运行。网页中嵌入JavaScript代码有多种方法。
### 直接添加代码块
通过`<script>`标签,可以直接将JavaScript代码嵌入网页。
```html
<script>
// some JavaScript code
</script>
```
`<script>`标签有一个`type`属性,用来指定脚本类型。不过,如果嵌入的是JavaScript脚本,HTML5推荐`type`属性。
对JavaScript脚本来说,`type`属性可以设为两种值。
- `text/javascript`:这是默认值,也是历史上一贯设定的值。如果你省略`type`属性,默认就是这个值。对于老式浏览器,设为这个值比较好。
- `application/javascript`:对于较新的浏览器,建议设为这个值。
### 加载外部脚本
`script`标签也可以指定加载外部的脚本文件。
```html
<script src="example.js"></script>
```
如果脚本文件使用了非英语字符,还应该注明编码。
```html
<script charset="utf-8" src="example.js"></script>
```
加载外部脚本和直接添加代码块,这两种方法不能混用。下面代码的`console.log`语句直接被忽略。
```html
<script charset="utf-8" src="example.js">
console.log('Hello World!');
</script>
```
为了防止攻击者篡改外部脚本,`script`标签允许设置一个`integrity`属性,写入该外部脚本的Hash签名,用来验证脚本的一致性。
```html
<script src="/assets/application.js"
integrity="sha256-TvVUHzSfftWg1rcfL6TIJ0XKEGrgLyEq6lEpcmrG9qs=">
</script>
```
上面代码中,`script`标签有一个`integrity`属性,指定了外部脚本`/assets/application.js`的SHA265签名。一旦有人改了这个脚本,导致SHA265签名不匹配,浏览器就会拒绝加载。
除了JavaScript脚本,外部的CSS样式表也可以设置这个属性。
### 行内代码
除了上面两种方法,HTML语言允许在某些元素的事件属性和`a`元素的`href`属性中,直接写入JavaScript。
```html
<div onclick="alert('Hello')"></div>
<a href="javascript:alert('Hello')"></a>
```
这种写法将HTML代码与JavaScript代码混写在一起,非常不利于代码管理,不建议使用。
## script标签的工作原理
正常的网页加载流程是这样的。
1. 浏览器一边下载HTML网页,一边开始解析
1. 解析过程中,发现script标签
1. 暂停解析,网页渲染的控制权转交给JavaScript引擎
1. 如果script标签引用了外部脚本,就下载该脚本,否则就直接执行
1. 执行完毕,控制权交还渲染引擎,恢复往下解析HTML网页
也就是说,加载外部脚本时,浏览器会暂停页面渲染,等待脚本下载并执行完成后,再继续渲染。原因是JavaScript可以修改DOM(比如使用`document.write`方法),所以必须把控制权让给它,否则会导致复杂的线程竞赛的问题。
如果外部脚本加载时间很长(比如一直无法完成下载),就会造成网页长时间失去响应,浏览器就会呈现“假死”状态,这被称为“阻塞效应”。
为了避免这种情况,较好的做法是将script标签都放在页面底部,而不是头部。这样即使遇到脚本失去响应,网页主体的渲染也已经完成了,用户至少可以看到内容,而不是面对一张空白的页面。
如果某些脚本代码非常重要,一定要放在页面头部的话,最好直接将代码嵌入页面,而不是连接外部脚本文件,这样能缩短加载时间。
将脚本文件都放在网页尾部加载,还有一个好处。在DOM结构生成之前就调用DOM,JavaScript会报错,如果脚本都在网页尾部加载,就不存在这个问题,因为这时DOM肯定已经生成了。
```html
<head>
<script>
console.log(document.body.innerHTML);
</script>
</head>
```
上面代码执行时会报错,因为此时`body`元素还未生成。
一种解决方法是设定`DOMContentLoaded`事件的回调函数。
```html
<head>
<script>
document.addEventListener(
'DOMContentLoaded',
function(event) {
console.log(document.body.innerHTML);
}
);
</script>
</head>
```
另一种解决方法是,使用`script`标签的`onload`属性。当script标签指定的外部脚本文件下载和解析完成,会触发一个load事件,可以把所需执行的代码,放在这个事件的回调函数里面。
```html
<script src="jquery.min.js" onload="console.log(document.body.innerHTML)">
</script>
```
但是,如果将脚本放在页面底部,就可以完全按照正常的方式写,上面两种方式都不需要。
```html
<body>
<!-- 其他代码 -->
<script>
console.log(document.body.innerHTML);
</script>
</body>
```
如果有多个script标签,比如下面这样。
```html
<script src="1.js"></script>
<script src="2.js"></script>
```
浏览器会同时平行下载`1.js`和`2.js`,但是,执行时会保证先执行`1.js`,然后再执行`2.js`,即使后者先下载完成,也是如此。也就是说,脚本的执行顺序由它们在页面中的出现顺序决定,这是为了保证脚本之间的依赖关系不受到破坏。
当然,加载这两个脚本都会产生“阻塞效应”,必须等到它们都加载完成,浏览器才会继续页面渲染。
Gecko和Webkit引擎在网页被阻塞后,会生成第二个线程解析文档,下载外部资源,但是不会修改DOM,网页还是处于阻塞状态。
解析和执行CSS,也会产生阻塞。Firefox会等到脚本前面的所有样式表,都下载并解析完,再执行脚本;Webkit则是一旦发现脚本引用了样式,就会暂停执行脚本执行,等到样式表下载并解析完,再恢复执行。
此外,对于来自同一个域名的资源,比如脚本文件、样式表文件、图片文件等,浏览器一般最多同时下载六个(IE11允许同时下载13个)。如果是来自不同域名的资源,就没有这个限制。所以,通常把静态文件放在不同的域名之下,以加快下载速度。
## defer属性
为了解决脚本文件下载阻塞网页渲染的问题,一个方法是加入defer属性。
```html
<script src="1.js" defer></script>
<script src="2.js" defer></script>
```
`defer`属性的作用是,告诉浏览器,等到DOM加载完成后,再执行指定脚本。
1. 浏览器开始解析HTML网页
2. 解析过程中,发现带有`defer`属性的script标签
3. 浏览器继续往下解析HTML网页,同时并行下载script标签中的外部脚本
4. 浏览器完成解析HTML网页,此时再执行下载的脚本
有了`defer`属性,浏览器下载脚本文件的时候,不会阻塞页面渲染。下载的脚本文件在`DOMContentLoaded`事件触发前执行(即刚刚读取完`</html>`标签),而且可以保证执行顺序就是它们在页面上出现的顺序。
对于内置而不是连接外部脚本的script标签,以及动态生成的script标签,`defer`属性不起作用。
## async属性
解决“阻塞效应”的另一个方法是加入`async`属性。
```html
<script src="1.js" async></script>
<script src="2.js" async></script>
```
`async`属性的作用是,使用另一个进程下载脚本,下载时不会阻塞渲染。
1. 浏览器开始解析HTML网页
2. 解析过程中,发现带有`async`属性的`script`标签
3. 浏览器继续往下解析HTML网页,同时并行下载`script`标签中的外部脚本
4. 脚本下载完成,浏览器暂停解析HTML网页,开始执行下载的脚本
5. 脚本执行完毕,浏览器恢复解析HTML网页
`async`属性可以保证脚本下载的同时,浏览器继续渲染。需要注意的是,一旦采用这个属性,就无法保证脚本的执行顺序。哪个脚本先下载结束,就先执行那个脚本。另外,使用`async`属性的脚本文件中,不应该使用`document.write`方法。
`defer`属性和`async`属性到底应该使用哪一个?
一般来说,如果脚本之间没有依赖关系,就使用`async`属性,如果脚本之间有依赖关系,就使用`defer`属性。如果同时使用`async`和`defer`属性,后者不起作用,浏览器行为由`async`属性决定。
## 重流和重绘
渲染树转换为网页布局,称为“布局流”(flow);布局显示到页面的这个过程,称为“绘制”(paint)。它们都具有阻塞效应,并且会耗费很多时间和计算资源。
页面生成以后,脚本操作和样式表操作,都会触发重流(reflow)和重绘(repaint)。用户的互动,也会触发,比如设置了鼠标悬停(`a:hover`)效果、页面滚动、在输入框中输入文本、改变窗口大小等等。
重流和重绘并不一定一起发生,重流必然导致重绘,重绘不一定需要重流。比如改变元素颜色,只会导致重绘,而不会导致重流;改变元素的布局,则会导致重绘和重流。
大多数情况下,浏览器会智能判断,将“重流”和“重绘”只限制到相关的子树上面,最小化所耗费的代价,而不会全局重新生成网页。
作为开发者,应该尽量设法降低重绘的次数和成本。比如,尽量不要变动高层的DOM元素,而以底层DOM元素的变动代替;再比如,重绘table布局和flex布局,开销都会比较大。
```javascript
var foo = document.getElementById(‘foobar’);
foo.style.color = ‘blue’;
foo.style.marginTop = ‘30px’;
```
上面的代码只会导致一次重绘,因为浏览器会累积DOM变动,然后一次性执行。
下面的代码则会导致两次重绘。
```javascript
var foo = document.getElementById(‘foobar’);
foo.style.color = ‘blue’;
var margin = parseInt(foo.style.marginTop);
foo.style.marginTop = (margin + 10) + ‘px’;
```
下面是一些优化技巧。
- 读取DOM或者写入DOM,尽量写在一起,不要混杂
- 缓存DOM信息
- 不要一项一项地改变样式,而是使用CSS class一次性改变样式
- 使用document fragment操作DOM
- 动画时使用absolute定位或fixed定位,这样可以减少对其他元素的影响
- 只在必要时才显示元素
- 使用`window.requestAnimationFrame()`,因为它可以把代码推迟到下一次重流时执行,而不是立即要求页面重流
- 使用虚拟DOM(virtual DOM)库
下面是一个`window.requestAnimationFrame()`对比效果的例子。
```javascript
// 重绘代价高
function doubleHeight(element) {
var currentHeight = element.clientHeight;
element.style.height = (currentHeight * 2) + ‘px’;
}
all_my_elements.forEach(doubleHeight);
// 重绘代价低
function doubleHeight(element) {
var currentHeight = element.clientHeight;
window.requestAnimationFrame(function () {
element.style.height = (currentHeight * 2) + ‘px’;
});
}
all_my_elements.forEach(doubleHeight);
```
## 脚本的动态嵌入
除了用静态的`script`标签,还可以动态嵌入`script`标签。
```javascript
['1.js', '2.js'].forEach(function(src) {
var script = document.createElement('script');
script.src = src;
document.head.appendChild(script);
});
```
这种方法的好处是,动态生成的`script`标签不会阻塞页面渲染,也就不会造成浏览器假死。但是问题在于,这种方法无法保证脚本的执行顺序,哪个脚本文件先下载完成,就先执行哪个。
如果想避免这个问题,可以设置async属性为`false`。
```javascript
['1.js', '2.js'].forEach(function(src) {
var script = document.createElement('script');
script.src = src;
script.async = false;
document.head.appendChild(script);
});
```
上面的代码依然不会阻塞页面渲染,而且可以保证`2.js`在`1.js`后面执行。不过需要注意的是,在这段代码后面加载的脚本文件,会因此都等待`2.js`执行完成后再执行。
我们可以把上面的写法,封装成一个函数。
```javascript
(function() {
var scripts = document.getElementsByTagName('script')[0];
function load(url) {
var script = document.createElement('script');
script.async = true;
script.src = url;
scripts.parentNode.insertBefore(script, scripts);
}
load('//apis.google.com/js/plusone.js');
load('//platform.twitter.com/widgets.js');
load('//s.thirdpartywidget.com/widget.js');
}());
```
上面代码中,`async`属性设为`true`,是因为加载的脚本没有互相依赖关系。而且,这样就不会造成堵塞。
此外,动态嵌入还有一个地方需要注意。动态嵌入必须等待CSS文件加载完成后,才会去下载外部脚本文件。静态加载就不存在这个问题,`script`标签指定的外部脚本文件,都是与CSS文件同时并发下载的。
## 加载使用的协议
如果不指定协议,浏览器默认采用HTTP协议下载。
```html
<script src="example.js"></script>
```
上面的`example.js`默认就是采用HTTP协议下载,如果要采用HTTPs协议下载,必需写明(假定服务器支持)。
```html
<script src="https://example.js"></script>
```
但是有时我们会希望,根据页面本身的协议来决定加载协议,这时可以采用下面的写法。
```html
<script src="//example.js"></script>
```
## JavaScript虚拟机
JavaScript是一种解释型语言,也就是说,它不需要编译,可以由解释器实时运行。这样的好处是运行和修改都比较方便,刷新页面就可以重新解释;缺点是每次运行都要调用解释器,系统开销较大,运行速度慢于编译型语言。为了提高运行速度,目前的浏览器都将JavaScript进行一定程度的编译,生成类似字节码(bytecode)的中间代码,以提高运行速度。
早期,浏览器内部对JavaScript的处理过程如下:
1. 读取代码,进行词法分析(Lexical analysis),将代码分解成词元(token)。
2. 对词元进行语法分析(parsing),将代码整理成“语法树”(syntax tree)。
3. 使用“翻译器”(translator),将代码转为字节码(bytecode)。
4. 使用“字节码解释器”(bytecode interpreter),将字节码转为机器码。
逐行解释将字节码转为机器码,是很低效的。为了提高运行速度,现代浏览器改为采用“即时编译”(Just In Time compiler,缩写JIT),即字节码只在运行时编译,用到哪一行就编译哪一行,并且把编译结果缓存(inline cache)。通常,一个程序被经常用到的,只是其中一小部分代码,有了缓存的编译结果,整个程序的运行速度就会显著提升。
不同的浏览器有不同的编译策略。有的浏览器只编译最经常用到的部分,比如循环的部分;有的浏览器索性省略了字节码的翻译步骤,直接编译成机器码,比如chrome浏览器的V8引擎。
字节码不能直接运行,而是运行在一个虚拟机(Virtual Machine)之上,一般也把虚拟机称为JavaScript引擎。因为JavaScript运行时未必有字节码,所以JavaScript虚拟机并不完全基于字节码,而是部分基于源码,即只要有可能,就通过JIT(just in time)编译器直接把源码编译成机器码运行,省略字节码步骤。这一点与其他采用虚拟机(比如Java)的语言不尽相同。这样做的目的,是为了尽可能地优化代码、提高性能。下面是目前最常见的一些JavaScript虚拟机:
- [Chakra](http://en.wikipedia.org/wiki/Chakra_(JScript_engine\))(Microsoft Internet Explorer)
- [Nitro/JavaScript Core](http://en.wikipedia.org/wiki/WebKit#JavaScriptCore) (Safari)
- [Carakan](http://dev.opera.com/articles/view/labs-carakan/) (Opera)
- [SpiderMonkey](https://developer.mozilla.org/en-US/docs/SpiderMonkey) (Firefox)
- [V8](http://en.wikipedia.org/wiki/V8_(JavaScript_engine\)) (Chrome, Chromium)
## 单线程模型
### 含义
首先,明确一个观念:JavaScript只在一个线程上运行,不代表JavaScript引擎只有一个线程。事实上,JavaScript引擎有多个线程,其中单个脚本只能在一个线程上运行,其他线程都是在后台配合。JavaScript脚本在一个线程里运行。这意味着,一次只能运行一个任务,其他任务都必须在后面排队等待。
JavaScript之所以采用单线程,而不是多线程,跟历史有关系。JavaScript从诞生起就是单线程,原因是不想让浏览器变得太复杂,因为多线程需要共享资源、且有可能修改彼此的运行结果,对于一种网页脚本语言来说,这就太复杂了。比如,假定JavaScript同时有两个线程,一个线程在某个DOM节点上添加内容,另一个线程删除了这个节点,这时浏览器应该以哪个线程为准?所以,为了避免复杂性,从一诞生,JavaScript就是单线程,这已经成了这门语言的核心特征,将来也不会改变。
为了利用多核CPU的计算能力,HTML5提出Web Worker标准,允许JavaScript脚本创建多个线程,但是子线程完全受主线程控制,且不得操作DOM。所以,这个新标准并没有改变JavaScript单线程的本质。
单线程模型带来了一些问题,主要是新的任务被加在队列的尾部,只有前面的所有任务运行结束,才会轮到它执行。如果有一个任务特别耗时,后面的任务都会停在那里等待,造成浏览器失去响应,又称“假死”。为了避免“假死”,当某个操作在一定时间后仍无法结束,浏览器就会跳出提示框,询问用户是否要强行停止脚本运行。
如果排队是因为计算量大,CPU忙不过来,倒也算了,但是很多时候CPU是闲着的,因为IO设备(输入输出设备)很慢(比如Ajax操作从网络读取数据),不得不等着结果出来,再往下执行。JavaScript语言的设计者意识到,这时CPU完全可以不管IO设备,挂起处于等待中的任务,先运行排在后面的任务。等到IO设备返回了结果,再回过头,把挂起的任务继续执行下去。这种机制就是JavaScript内部采用的Event Loop。
### 消息队列
JavaScript运行时,除了一根运行线程,系统还提供一个消息队列(message queue),里面是各种需要当前程序处理的消息。新的消息进入队列的时候,会自动排在队列的尾端。
运行线程只要发现消息队列不为空,就会取出排在第一位的那个消息,执行它对应的回调函数。等到执行完,再取出排在第二位的消息,不断循环,直到消息队列变空为止。
每条消息与一个回调函数相联系,也就是说,程序只要收到这条消息,就会执行对应的函数。另一方面,进入消息队列的消息,必须有对应的回调函数。否则这个消息就会遗失,不会进入消息队列。举例来说,鼠标点击就会产生一条消息,报告`click`事件发生了。如果没有回调函数,这个消息就遗失了。如果有回调函数,这个消息进入消息队列。等到程序收到这个消息,就会执行click事件的回调函数。
另一种情况是`setTimeout`会在指定时间向消息队列添加一条消息。如果消息队列之中,此时没有其他消息,这条消息会立即得到处理;否则,这条消息会不得不等到其他消息处理完,才会得到处理。因此,`setTimeout`指定的执行时间,只是一个最早可能发生的时间,并不能保证一定会在那个时间发生。
一旦当前执行栈空了,消息队列就会取出排在第一位的那条消息,传入程序。程序开始执行对应的回调函数,等到执行完,再处理下一条消息。
### Event Loop
所谓Event Loop,指的是一种内部循环,用来一轮又一轮地处理消息队列之中的消息,即执行对应的回调函数。[Wikipedia](http://en.wikipedia.org/wiki/Event_loop)的定义是:“**Event Loop是一个程序结构,用于等待和发送消息和事件**(a programming construct that waits for and dispatches events or messages in a program)”。可以就把Event Loop理解成动态更新的消息队列本身。
下面是一些常见的JavaScript任务。
- 执行JavaScript代码
- 对用户的输入(包含鼠标点击、键盘输入等等)做出反应
- 处理异步的网络请求
所有任务可以分成两种,一种是同步任务(synchronous),另一种是异步任务(asynchronous)。同步任务指的是,在JavaScript执行进程上排队执行的任务,只有前一个任务执行完毕,才能执行后一个任务;异步任务指的是,不进入JavaScript执行进程、而进入“任务队列”(task queue)的任务,只有“任务队列”通知主进程,某个异步任务可以执行了,该任务(采用回调函数的形式)才会进入JavaScript进程执行。
以Ajax操作为例,它可以当作同步任务处理,也可以当作异步任务处理,由开发者决定。如果是同步任务,主线程就等着Ajax操作返回结果,再往下执行;如果是异步任务,该任务直接进入“任务队列”,JavaScript进程跳过Ajax操作,直接往下执行,等到Ajax操作有了结果,JavaScript进程再执行对应的回调函数。
也就是说,虽然JavaScript只有一根进程用来执行,但是并行的还有其他进程(比如,处理定时器的进程、处理用户输入的进程、处理网络通信的进程等等)。这些进程通过向任务队列添加任务,实现与JavaScript进程通信。
想要理解Event Loop,就要从程序的运行模式讲起。运行以后的程序叫做"进程"(process),一般情况下,一个进程一次只能执行一个任务。如果有很多任务需要执行,不外乎三种解决方法。
1. **排队。**因为一个进程一次只能执行一个任务,只好等前面的任务执行完了,再执行后面的任务。
2. **新建进程。**使用fork命令,为每个任务新建一个进程。
3. **新建线程。**因为进程太耗费资源,所以如今的程序往往允许一个进程包含多个线程,由线程去完成任务。
如果某个任务很耗时,比如涉及很多I/O(输入/输出)操作,那么线程的运行大概是下面的样子。
上图的绿色部分是程序的运行时间,红色部分是等待时间。可以看到,由于I/O操作很慢,所以这个线程的大部分运行时间都在空等I/O操作的返回结果。这种运行方式称为"同步模式"(synchronous I/O)。
如果采用多线程,同时运行多个任务,那很可能就是下面这样。
上图表明,多线程不仅占用多倍的系统资源,也闲置多倍的资源,这显然不合理。
上图主线程的绿色部分,还是表示运行时间,而橙色部分表示空闲时间。每当遇到I/O的时候,主线程就让Event Loop线程去通知相应的I/O程序,然后接着往后运行,所以不存在红色的等待时间。等到I/O程序完成操作,Event Loop线程再把结果返回主线程。主线程就调用事先设定的回调函数,完成整个任务。
可以看到,由于多出了橙色的空闲时间,所以主线程得以运行更多的任务,这就提高了效率。这种运行方式称为"[异步模式](http://en.wikipedia.org/wiki/Asynchronous_I/O)"(asynchronous I/O)。
这正是JavaScript语言的运行方式。单线程模型虽然对JavaScript构成了很大的限制,但也因此使它具备了其他语言不具备的优势。如果部署得好,JavaScript程序是不会出现堵塞的,这就是为什么node.js平台可以用很少的资源,应付大流量访问的原因。
如果有大量的异步任务(实际情况就是这样),它们会在“消息队列”中产生大量的消息。这些消息排成队,等候进入主线程。本质上,“消息队列”就是一个“先进先出”的数据结构。比如,点击鼠标就产生一系列消息(各种事件),`mousedown`事件排在`mouseup`事件前面,`mouseup`事件又排在`click`事件的前面。
<h2 id="6.2">定时器</h2>
JavaScript提供定时执行代码的功能,叫做定时器(timer),主要由`setTimeout()`和`setInterval()`这两个函数来完成。它们向任务队列添加定时任务。
## setTimeout()
`setTimeout`函数用来指定某个函数或某段代码,在多少毫秒之后执行。它返回一个整数,表示定时器的编号,以后可以用来取消这个定时器。
```javascript
var timerId = setTimeout(func|code, delay)
```
上面代码中,`setTimeout`函数接受两个参数,第一个参数`func|code`是将要推迟执行的函数名或者一段代码,第二个参数`delay`是推迟执行的毫秒数。
```javascript
console.log(1);
setTimeout('console.log(2)',1000);
console.log(3);
```
上面代码的输出结果就是1,3,2,因为`setTimeout`指定第二行语句推迟1000毫秒再执行。
需要注意的是,推迟执行的代码必须以字符串的形式,放入setTimeout,因为引擎内部使用eval函数,将字符串转为代码。如果推迟执行的是函数,则可以直接将函数名,放入setTimeout。一方面eval函数有安全顾虑,另一方面为了便于JavaScript引擎优化代码,setTimeout方法一般总是采用函数名的形式,就像下面这样。
```javascript
function f(){
console.log(2);
}
setTimeout(f,1000);
// 或者
setTimeout(function (){console.log(2)},1000);
```
如果省略`setTimeout`的第二个参数,则该参数默认为0。
除了前两个参数,setTimeout还允许添加更多的参数。它们将被传入推迟执行的函数(回调函数)。
```javascript
setTimeout(function(a,b){
console.log(a+b);
},1000,1,1);
```
上面代码中,setTimeout共有4个参数。最后那两个参数,将在1000毫秒之后回调函数执行时,作为回调函数的参数。
IE 9.0及以下版本,只允许setTimeout有两个参数,不支持更多的参数。这时有三种解决方法。第一种是在一个匿名函数里面,让回调函数带参数运行,再把匿名函数输入setTimeout。
```javascript
setTimeout(function() {
myFunc("one", "two", "three");
}, 1000);
```
上面代码中,myFunc是真正要推迟执行的函数,有三个参数。如果直接放入setTimeout,低版本的IE不能带参数,所以可以放在一个匿名函数。
第二种解决方法是使用bind方法,把多余的参数绑定在回调函数上面,生成一个新的函数输入setTimeout。
```javascript
setTimeout(function(arg1){}.bind(undefined, 10), 1000);
```
上面代码中,bind方法第一个参数是undefined,表示将原函数的this绑定全局作用域,第二个参数是要传入原函数的参数。它运行后会返回一个新函数,该函数不带参数。
第三种解决方法是自定义setTimeout,使用apply方法将参数输入回调函数。
```html
<!--[if lte IE 9]><script>
(function(f){
window.setTimeout =f(window.setTimeout);
window.setInterval =f(window.setInterval);
})(function(f){return function(c,t){
var a=[].slice.call(arguments,2);return f(function(){c.apply(this,a)},t)}
});
</script><![endif]-->
```
除了参数问题,setTimeout还有一个需要注意的地方:如果被setTimeout推迟执行的回调函数是某个对象的方法,那么该方法中的this关键字将指向全局环境,而不是定义时所在的那个对象。
```javascript
var x = 1;
var o = {
x: 2,
y: function(){
console.log(this.x);
}
};
setTimeout(o.y,1000);
// 1
```
上面代码输出的是1,而不是2,这表示`o.y`的this所指向的已经不是o,而是全局环境了。
再看一个不容易发现错误的例子。
```javascript
function User(login) {
this.login = login;
this.sayHi = function() {
console.log(this.login);
}
}
var user = new User('John');
setTimeout(user.sayHi, 1000);
```
上面代码只会显示undefined,因为等到user.sayHi执行时,它是在全局对象中执行,所以this.login取不到值。
为了防止出现这个问题,一种解决方法是将user.sayHi放在函数中执行。
```javascript
setTimeout(function() {
user.sayHi();
}, 1000);
```
上面代码中,sayHi是在user作用域内执行,而不是在全局作用域内执行,所以能够显示正确的值。
另一种解决方法是,使用bind方法,将绑定sayHi绑定在user上面。
```javascript
setTimeout(user.sayHi.bind(user), 1000);
```
HTML 5标准规定,setTimeout的最短时间间隔是4毫秒。为了节电,对于那些不处于当前窗口的页面,浏览器会将时间间隔扩大到1000毫秒。另外,如果笔记本电脑处于电池供电状态,Chrome和IE 9以上的版本,会将时间间隔切换到系统定时器,大约是15.6毫秒。
## setInterval()
`setInterval`函数的用法与`setTimeout`完全一致,区别仅仅在于`setInterval`指定某个任务每隔一段时间就执行一次,也就是无限次的定时执行。
```html
<input type="button" onclick="clearInterval(timer)" value="stop">
<script>
var i = 1
var timer = setInterval(function() {
console.log(2);
}, 1000);
</script>
```
上面代码表示每隔1000毫秒就输出一个2,直到用户点击了停止按钮。
与`setTimeout`一样,除了前两个参数,`setInterval`方法还可以接受更多的参数,它们会传入回调函数,下面是一个例子。
```javascript
function f(){
for (var i=0;i<arguments.length;i++){
console.log(arguments[i]);
}
}
setInterval(f, 1000, "Hello World");
// Hello World
// Hello World
// Hello World
// ...
```
如果网页不在浏览器的当前窗口(或tab),许多浏览器限制setInteral指定的反复运行的任务最多每秒执行一次。
下面是一个通过`setInterval`方法实现网页动画的例子。
```javascript
var div = document.getElementById('someDiv');
var opacity = 1;
var fader = setInterval(function() {
opacity -= 0.1;
if (opacity >= 0) {
div.style.opacity = opacity;
} else {
clearInterval(fader);
}
}, 100);
```
上面代码每隔100毫秒,设置一次`div`元素的透明度,直至其完全透明为止。
`setInterval`的一个常见用途是实现轮询。下面是一个轮询URL的Hash值是否发生变化的例子。
```javascript
var hash = window.location.hash;
var hashWatcher = setInterval(function() {
if (window.location.hash != hash) {
updatePage();
}
}, 1000);
```
setInterval指定的是“开始执行”之间的间隔,并不考虑每次任务执行本身所消耗的时间。因此实际上,两次执行之间的间隔会小于指定的时间。比如,setInterval指定每100ms执行一次,每次执行需要5ms,那么第一次执行结束后95毫秒,第二次执行就会开始。如果某次执行耗时特别长,比如需要105毫秒,那么它结束后,下一次执行就会立即开始。
为了确保两次执行之间有固定的间隔,可以不用setInterval,而是每次执行结束后,使用setTimeout指定下一次执行的具体时间。
```javascript
var i = 1;
var timer = setTimeout(function() {
alert(i++);
timer = setTimeout(arguments.callee, 2000);
}, 2000);
```
上面代码可以确保,下一个对话框总是在关闭上一个对话框之后2000毫秒弹出。
根据这种思路,可以自己部署一个函数,实现间隔时间确定的setInterval的效果。
```javascript
function interval(func, wait){
var interv = function(){
func.call(null);
setTimeout(interv, wait);
};
setTimeout(interv, wait);
}
interval(function(){
console.log(2);
},1000);
```
上面代码部署了一个interval函数,用循环调用setTimeout模拟了setInterval。
HTML 5标准规定,setInterval的最短间隔时间是10毫秒,也就是说,小于10毫秒的时间间隔会被调整到10毫秒。
## clearTimeout(),clearInterval()
setTimeout和setInterval函数,都返回一个表示计数器编号的整数值,将该整数传入clearTimeout和clearInterval函数,就可以取消对应的定时器。
```javascript
var id1 = setTimeout(f,1000);
var id2 = setInterval(f,1000);
clearTimeout(id1);
clearInterval(id2);
```
setTimeout和setInterval返回的整数值是连续的,也就是说,第二个setTimeout方法返回的整数值,将比第一个的整数值大1。利用这一点,可以写一个函数,取消当前所有的setTimeout。
```javascript
(function() {
var gid = setInterval(clearAllTimeouts, 0);
function clearAllTimeouts() {
var id = setTimeout(function() {}, 0);
while (id > 0) {
if (id !== gid) {
clearTimeout(id);
}
id--;
}
}
})();
```
运行上面代码后,实际上再设置任何setTimeout都无效了。
下面是一个clearTimeout实际应用的例子。有些网站会实时将用户在文本框的输入,通过Ajax方法传回服务器,jQuery的写法如下。
```javascript
$('textarea').on('keydown', ajaxAction);
```
这样写有一个很大的缺点,就是如果用户连续击键,就会连续触发keydown事件,造成大量的Ajax通信。这是不必要的,而且很可能会发生性能问题。正确的做法应该是,设置一个门槛值,表示两次Ajax通信的最小间隔时间。如果在设定的时间内,发生新的keydown事件,则不触发Ajax通信,并且重新开始计时。如果过了指定时间,没有发生新的keydown事件,将进行Ajax通信将数据发送出去。
这种做法叫做debounce(防抖动)方法,用来返回一个新函数。只有当两次触发之间的时间间隔大于事先设定的值,这个新函数才会运行实际的任务。假定两次Ajax通信的间隔不小于2500毫秒,上面的代码可以改写成下面这样。
```javascript
$('textarea').on('keydown', debounce(ajaxAction, 2500))
```
利用setTimeout和clearTimeout,可以实现debounce方法。该方法用于防止某个函数在短时间内被密集调用,具体来说,debounce方法返回一个新版的该函数,这个新版函数调用后,只有在指定时间内没有新的调用,才会执行,否则就重新计时。
```javascript
function debounce(fn, delay){
var timer = null; // 声明计时器
return function(){
var context = this;
var args = arguments;
clearTimeout(timer);
timer = setTimeout(function(){
fn.apply(context, args);
}, delay);
};
}
// 用法示例
var todoChanges = _.debounce(batchLog, 1000);
Object.observe(models.todo, todoChanges);
```
现实中,最好不要设置太多个setTimeout和setInterval,它们耗费CPU。比较理想的做法是,将要推迟执行的代码都放在一个函数里,然后只对这个函数使用setTimeout或setInterval。
## 运行机制
setTimeout和setInterval的运行机制是,将指定的代码移出本次执行,等到下一轮Event Loop时,再检查是否到了指定时间。如果到了,就执行对应的代码;如果不到,就等到再下一轮Event Loop时重新判断。这意味着,setTimeout指定的代码,必须等到本次执行的所有代码都执行完,才会执行。
每一轮Event Loop时,都会将“任务队列”中需要执行的任务,一次执行完。setTimeout和setInterval都是把任务添加到“任务队列”的尾部。因此,它们实际上要等到当前脚本的所有同步任务执行完,然后再等到本次Event Loop的“任务队列”的所有任务执行完,才会开始执行。由于前面的任务到底需要多少时间执行完,是不确定的,所以没有办法保证,setTimeout和setInterval指定的任务,一定会按照预定时间执行。
```javascript
setTimeout(someTask,100);
veryLongTask();
```
上面代码的setTimeout,指定100毫秒以后运行一个任务。但是,如果后面立即运行的任务(当前脚本的同步任务))非常耗时,过了100毫秒还无法结束,那么被推迟运行的someTask就只有等着,等到前面的veryLongTask运行结束,才轮到它执行。
这一点对于setInterval影响尤其大。
```javascript
setInterval(function(){
console.log(2);
},1000);
(function (){
sleeping(3000);
})();
```
上面的第一行语句要求每隔1000毫秒,就输出一个2。但是,第二行语句需要3000毫秒才能完成,请问会发生什么结果?
结果就是等到第二行语句运行完成以后,立刻连续输出三个2,然后开始每隔1000毫秒,输出一个2。也就是说,setIntervel具有累积效应,如果某个操作特别耗时,超过了setInterval的时间间隔,排在后面的操作会被累积起来,然后在很短的时间内连续触发,这可能或造成性能问题(比如集中发出Ajax请求)。
为了进一步理解JavaScript的单线程模型,请看下面这段伪代码。
```javascript
function init(){
{ 耗时5ms的某个操作 }
触发mouseClickEvent事件
{ 耗时5ms的某个操作 }
setInterval(timerTask,10);
{ 耗时5ms的某个操作 }
}
function handleMouseClick(){
耗时8ms的某个操作
}
function timerTask(){
耗时2ms的某个操作
}
```
请问调用init函数后,这段代码的运行顺序是怎样的?
- **0-15ms**:运行init函数。
- **15-23ms**:运行handleMouseClick函数。请注意,这个函数是在5ms时触发的,应该在那个时候就立即运行,但是由于单线程的关系,必须等到init函数完成之后再运行。
- **23-25ms**:运行timerTask函数。这个函数是在10ms时触发的,规定每10ms运行一次,即在20ms、30ms、40ms等时候运行。由于20ms时,JavaScript线程还有任务在运行,因此必须延迟到前面任务完成时再运行。
- **30-32ms**:运行timerTask函数。
- **40-42ms**:运行timerTask函数。
## setTimeout(f,0)
### 含义
`setTimeout`的作用是将代码推迟到指定时间执行,如果指定时间为`0`,即`setTimeout(f, 0)`,那么会立刻执行吗?
答案是不会。因为上一段说过,必须要等到当前脚本的同步任务和“任务队列”中已有的事件,全部处理完以后,才会执行`setTimeout`指定的任务。也就是说,setTimeout的真正作用是,在“消息队列”的现有消息的后面再添加一个消息,规定在指定时间执行某段代码。`setTimeout`添加的事件,会在下一次`Event Loop`执行。
`setTimeout(f, 0)`将第二个参数设为`0`,作用是让`f`在现有的任务(脚本的同步任务和“消息队列”指定的任务)一结束就立刻执行。也就是说,`setTimeout(f, 0)`的作用是,尽可能早地执行指定的任务。而并不是会立刻就执行这个任务。
```javascript
setTimeout(function () {
console.log('你好!');
}, 0);
```
上面代码的含义是,尽可能早地显示“你好!”。
`setTimeout(f, 0)`指定的任务,最早也要到下一次Event Loop才会执行。请看下面的例子。
```javascript
setTimeout(function() {
console.log("Timeout");
}, 0);
function a(x) {
console.log("a() 开始运行");
b(x);
console.log("a() 结束运行");
}
function b(y) {
console.log("b() 开始运行");
console.log("传入的值为" + y);
console.log("b() 结束运行");
}
console.log("当前任务开始");
a(42);
console.log("当前任务结束");
// 当前任务开始
// a() 开始运行
// b() 开始运行
// 传入的值为42
// b() 结束运行
// a() 结束运行
// 当前任务结束
// Timeout
```
上面代码说明,`setTimeout(f, 0)`必须要等到当前脚本的所有同步任务结束后才会执行。
即使消息队列是空的,0毫秒实际上也是达不到的。根据[HTML 5标准](http://www.whatwg.org/specs/web-apps/current-work/multipage/timers.html#timers),`setTimeOut`推迟执行的时间,最少是4毫秒。如果小于这个值,会被自动增加到4。这是为了防止多个`setTimeout(f, 0)`语句连续执行,造成性能问题。
另一方面,浏览器内部使用32位带符号的整数,来储存推迟执行的时间。这意味着`setTimeout`最多只能推迟执行2147483647毫秒(24.8天),超过这个时间会发生溢出,导致回调函数将在当前任务队列结束后立即执行,即等同于`setTimeout(f, 0)`的效果。
### 应用
setTimeout(f,0)有几个非常重要的用途。它的一大应用是,可以调整事件的发生顺序。比如,网页开发中,某个事件先发生在子元素,然后冒泡到父元素,即子元素的事件回调函数,会早于父元素的事件回调函数触发。如果,我们先让父元素的事件回调函数先发生,就要用到setTimeout(f, 0)。
```javascript
var input = document.getElementsByTagName('input[type=button]')[0];
input.onclick = function A() {
setTimeout(function B() {
input.value +=' input';
}, 0)
};
document.body.onclick = function C() {
input.value += ' body'
};
```
上面代码在点击按钮后,先触发回调函数A,然后触发函数C。在函数A中,setTimeout将函数B推迟到下一轮Loop执行,这样就起到了,先触发父元素的回调函数C的目的了。
用户自定义的回调函数,通常在浏览器的默认动作之前触发。比如,用户在输入框输入文本,keypress事件会在浏览器接收文本之前触发。因此,下面的回调函数是达不到目的的。
```javascript
document.getElementById('input-box').onkeypress = function(event) {
this.value = this.value.toUpperCase();
}
```
上面代码想在用户输入文本后,立即将字符转为大写。但是实际上,它只能将上一个字符转为大写,因为浏览器此时还没接收到文本,所以`this.value`取不到最新输入的那个字符。只有用setTimeout改写,上面的代码才能发挥作用。
```javascript
document.getElementById('my-ok').onkeypress = function() {
var self = this;
setTimeout(function() {
self.value = self.value.toUpperCase();
}, 0);
}
```
上面代码将代码放入setTimeout之中,就能使得它在浏览器接收到文本之后触发。
由于setTimeout(f,0)实际上意味着,将任务放到浏览器最早可得的空闲时段执行,所以那些计算量大、耗时长的任务,常常会被放到几个小部分,分别放到setTimeout(f,0)里面执行。
```javascript
var div = document.getElementsByTagName('div')[0];
// 写法一
for (var i = 0xA00000; i < 0xFFFFFF; i++) {
div.style.backgroundColor = '#' + i.toString(16);
}
// 写法二
var timer;
var i=0x100000;
function func() {
timer = setTimeout(func, 0);
div.style.backgroundColor = '#' + i.toString(16);
if (i++ == 0xFFFFFF) clearTimeout(timer);
}
timer = setTimeout(func, 0);
```
上面代码有两种写法,都是改变一个网页元素的背景色。写法一会造成浏览器“堵塞”,因为JavaScript执行速度远高于DOM,会造成大量DOM操作“堆积”,而写法二就不会,这就是`setTimeout(f, 0)`的好处。
另一个使用这种技巧的例子是代码高亮的处理。如果代码块很大,一次性处理,可能会对性能造成很大的压力,那么将其分成一个个小块,一次处理一块,比如写成`setTimeout(highlightNext, 50)`的样子,性能压力就会减轻。
## 正常任务与微任务
正常情况下,JavaScript的任务是同步执行的,即执行完前一个任务,然后执行后一个任务。只有遇到异步任务的情况下,执行顺序才会改变。
这时,需要区分两种任务:正常任务(task)与微任务(microtask)。它们的区别在于,“正常任务”在下一轮Event Loop执行,“微任务”在本轮Event Loop的所有任务结束后执行。
```javascript
console.log(1);
setTimeout(function() {
console.log(2);
}, 0);
Promise.resolve().then(function() {
console.log(3);
}).then(function() {
console.log(4);
});
console.log(5);
// 1
// 5
// 3
// 4
// 2
```
上面代码的执行结果说明,`setTimeout(fn, 0)`在`Promise.resolve`之后执行。
这是因为`setTimeout`语句指定的是“正常任务”,即不会在当前的Event Loop执行。而Promise会将它的回调函数,在状态改变后的那一轮Event Loop指定为微任务。所以,3和4输出在5之后、2之前。
除了`setTimeout`,正常任务还包括各种事件(比如鼠标单击事件)的回调函数。微任务目前主要就是Promise。
<h2 id="6.3">window对象</h2>
## 概述
JavaScript的所有对象都存在于一个运行环境之中,这个运行环境本身也是对象,称为“顶层对象”。这就是说,JavaScript的所有对象,都是“顶层对象”的下属。不同的运行环境有不同的“顶层对象”,在浏览器环境中,这个顶层对象就是`window`对象(`w`为小写)。
所有浏览器环境的全局变量,都是`window`对象的属性。
```javascript
var a = 1;
window.a // 1
```
上面代码中,变量`a`是一个全局变量,但是实质上它是`window`对象的属性。声明一个全局变量,就是为`window`对象的同名属性赋值。
可以简单理解成,`window`就是指当前的浏览器窗口。
从语言设计的角度看,所有变量都是`window`对象的属性,其实不是很合理。因为`window`对象有自己的实体含义,不适合当作最高一层的顶层对象。这个设计失误与JavaScript语言匆忙的设计过程有关,最早的设想是语言内置的对象越少越好,这样可以提高浏览器的性能。因此,语言设计者Brendan Eich就把`window`对象当作顶层对象,所有未声明就赋值的变量都自动变成`window`对象的属性。这种设计使得编译阶段无法检测未声明变量,但到了今天已经没有办法纠正了。
## 窗口的大小和位置
浏览器提供一系列属性,用来获取浏览器窗口的大小和位置。
(1)window.screenX,window.screenY
`window.screenX`和`window.screenY`属性,返回浏览器窗口左上角相对于当前屏幕左上角(`(0, 0)`)的水平距离和垂直距离,单位为像素。
(2)window.innerHeight,window.innerWidth
`window.innerHeight`和`window.innerWidth`属性,返回网页在当前窗口中可见部分的高度和宽度,即“视口”(viewport),单位为像素。
当用户放大网页的时候(比如将网页从100%的大小放大为200%),这两个属性会变小。因为这时网页的像素大小不变,只是每个像素占据的屏幕空间变大了,因为可见部分(视口)就变小了。
注意,这两个属性值包括滚动条的高度和宽度。
(3)window.outerHeight,window.outerWidth
`window.outerHeight`和`window.outerWidth`属性返回浏览器窗口的高度和宽度,包括浏览器菜单和边框,单位为像素。
(4)window.pageXOffset属性,window.pageYOffset属性
`window.pageXOffset`属性返回页面的水平滚动距离,`window.pageYOffset`属性返回页面的垂直滚动距离,单位都为像素。
## window对象的属性
### window.closed
`window.closed`属性返回一个布尔值,表示指定窗口是否关闭,通常用来检查通过脚本新建的窗口。
```javascript
popup.closed // false
```
上面代码检查跳出窗口是否关闭。
### window.opener
`window.opener`属性返回打开当前窗口的父窗口。如果当前窗口没有父窗口,则返回`null`。
```javascript
var windowA = window.opener;
```
通过`opener`属性,可以获得父窗口的的全局变量和方法,比如`windowA.window.propertyName`和`windowA.window.functionName()`。
该属性只适用于两个窗口属于同源的情况(参见《同源政策》一节),且其中一个窗口由另一个打开。
### window.name
`window.name`属性用于设置当前浏览器窗口的名字。
```javascript
window.name = 'Hello World!';
console.log(window.name)
// "Hello World!"
```
各个浏览器对这个值的储存容量有所不同,但是一般来说,可以高达几MB。
它有一个重要特点,就是只要是本窗口打开的网页,都能读写该属性,不管这些网页是否属于同一个网站。所以,可以把值存放在该属性内,然后让另一个网页读取,从而实现跨域通信(详见《同源政策》一节)。
该属性只能保存字符串,且当浏览器窗口关闭后,所保存的值就会消失。因此局限性比较大,但是与iframe窗口通信时,非常有用。
### window.location
`window.location`返回一个`location`对象,用于获取窗口当前的URL信息。它等同于`document.location`对象。
```javascript
window.location === document.location // true
```
## 框架窗口
`window.frames`属性返回一个类似数组的对象,成员为页面内所有框架窗口,包括`frame`元素和`iframe`元素。`window.frames[0]`表示页面中第一个框架窗口,`window.frames['someName']`则是根据框架窗口的`name`属性的值(不是`id`属性),返回该窗口。另外,通过`document.getElementById()`方法也可以引用指定的框架窗口。
```javascript
var frame = document.getElementById('theFrame');
var frameWindow = frame.contentWindow;
// 等同于 frame.contentWindow.document
var frameDoc = frame.contentDocument;
// 获取子窗口的变量和属性
frameWindow.function()
```
`window.length`属性返回当前页面中所有框架窗口总数。
```javascript
window.frames.length === window.length // true
```
`window.frames.length`与`window.length`应该是相等的。
由于传统的`frame`窗口已经不建议使用了,这里主要介绍`iframe`窗口。
需要注意的是,`window.frames`的每个成员对应的是框架内的窗口(即框架的`window`对象)。如果要获取每个框架内部的DOM树,需要使用`window.frames[0].document`的写法。
```javascript
var iframe = window.getElementsByTagName('iframe')[0];
var iframe_title = iframe.contentWindow.title;
```
上面代码用于获取`iframe`页面的标题。
`iframe`元素遵守同源政策,只有当父页面与框架页面来自同一个域名,两者之间才可以用脚本通信,否则只有使用window.postMessage方法。
`iframe`窗口内部,使用`window.parent`引用父窗口。如果当前页面没有父窗口,则`window.parent`属性返回自身。因此,可以通过`window.parent`是否等于`window.self`,判断当前窗口是否为`iframe`窗口。
```javascript
if (window.parent != window.self) {
// 当前窗口是子窗口
}
```
## navigator对象
Window对象的navigator属性,指向一个包含浏览器相关信息的对象。
**(1)navigator.userAgent属性**
navigator.userAgent属性返回浏览器的User-Agent字符串,用来标示浏览器的种类。下面是Chrome浏览器的User-Agent。
```javascript
navigator.userAgent
// "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/29.0.1547.57 Safari/537.36"
```
通过userAgent属性识别浏览器,不是一个好办法。因为必须考虑所有的情况(不同的浏览器,不同的版本),非常麻烦,而且无法保证未来的适用性,更何况各种上网设备层出不穷,难以穷尽。所以,现在一般不再识别浏览器了,而是使用“功能识别”方法,即逐一测试当前浏览器是否支持要用到的JavaScript功能。
不过,通过userAgent可以大致准确地识别手机浏览器,方法就是测试是否包含“mobi”字符串。
```javascript
var ua = navigator.userAgent.toLowerCase();
if (/mobi/i.test(ua)) {
// 手机浏览器
} else {
// 非手机浏览器
}
```
如果想要识别所有移动设备的浏览器,可以测试更多的特征字符串。
```javascript
/mobi|android|touch|mini/i.test(ua)
```
**(2)navigator.plugins属性**
navigator.plugins属性返回一个类似数组的对象,成员是浏览器安装的插件,比如Flash、ActiveX等。
## window.screen对象
`window.screen`对象包含了显示设备的信息。
`screen.height`和`screen.width`两个属性,一般用来了解设备的分辨率。
```javascript
// 显示设备的高度,单位为像素
screen.height // 1920
// 显示设备的宽度,单位为像素
screen.width // 1080
```
上面代码显示,某设备的分辨率是1920x1080。
除非调整显示器的分辨率,否则这两个值可以看作常量,不会发生变化。显示器的分辨率与浏览器设置无关,缩放网页并不会改变分辨率。
下面是根据屏幕分辨率,将用户导向不同网页的代码。
```javascript
if ((screen.width <= 800) && (screen.height <= 600)) {
window.location.replace('small.html');
} else {
window.location.replace('wide.html');
}
```
`screen.availHeight`和`screen.availWidth`属性返回屏幕可用的高度和宽度,单位为像素。它们的值为屏幕的实际大小减去操作系统某些功能占据的空间,比如系统的任务栏。
`screen.colorDepth`属性返回屏幕的颜色深度,一般为16(表示16-bit)或24(表示24-bit)。
## window对象的方法
### window.moveTo(),window.moveBy()
`window.moveTo`方法用于移动浏览器窗口到指定位置。它接受两个参数,分别是窗口左上角距离屏幕左上角的水平距离和垂直距离,单位为像素。
```javascript
window.moveTo(100, 200)
```
上面代码将窗口移动到屏幕`(100, 200)`的位置。
`window.moveBy`方法将窗口移动到一个相对位置。它接受两个参数,分布是窗口左上角向右移动的水平距离和向下移动的垂直距离,单位为像素。
```javascript
window.moveBy(25, 50)
```
上面代码将窗口向右移动25像素、向下移动50像素。
### window.open(), window.close()
`window.open`方法用于新建另一个浏览器窗口,并且返回该窗口对象。
```javascript
var popup = window.open('somefile.html');
```
`open`方法的第一个参数是新窗口打开的网址,此外还可以加上第二个参数,表示新窗口的名字,以及第三个参数用来指定新窗口的参数,形式是一个逗号分隔的`property=value`字符串。
下面是一个例子。
```javascript
var popup = window.open(
'somepage.html',
'DefinitionsWindows',
'height=200,width=200,location=no,resizable=yes,scrollbars=yes'
);
```
注意,如果在第三个参数中设置了一部分参数,其他没有被设置的`yes/no`参数都会被设成No,只有`titlebar`和关闭按钮除外(它们的值默认为yes)。
`open`方法返回新窗口的引用。
```javascript
var windowB = window.open('windowB.html', 'WindowB');
windowB.window.name // "WindowB"
```
由于`open`这个方法很容易被滥用,许多浏览器默认都不允许脚本新建窗口。因此,有必要检查一下打开新窗口是否成功。
```javascript
if (popup === null) {
// 新建窗口失败
}
```
`window.close`方法用于关闭当前窗口,一般用来关闭`window.open`方法新建的窗口。
```javascript
popup.close()
```
`window.closed`属性用于检查当前窗口是否被关闭了。
```javascript
if ((popup !== null) && !popup.closed) {
// 窗口仍然打开着
}
```
### window.print()
`print`方法会跳出打印对话框,同用户点击菜单里面的“打印”命令效果相同。
页面上的打印按钮代码如下。
```javascript
document.getElementById('printLink').onclick = function() {
window.print();
}
```
非桌面设备(比如手机)可能没有打印功能,这时可以这样判断。
```javascript
if (typeof window.print === 'function') {
// 支持打印功能
}
```
### URL的编码/解码方法
JavaScript提供四个URL的编码/解码方法。
- decodeURI()
- decodeURIComponent()
- encodeURI()
- encodeURIComponent()
### window.getComputedStyle方法
getComputedStyle方法接受一个HTML元素作为参数,返回一个包含该HTML元素的最终样式信息的对象。详见《DOM》一章的CSS章节。
### window.matchMedia方法
window.matchMedia方法用来检查CSS的mediaQuery语句。详见《DOM》一章的CSS章节。
### window.focus()
`focus`方法会激活指定当前窗口,使其获得焦点。
```javascript
if ((popup !== null) && !popup.closed) {
popup.focus();
}
```
上面代码先检查`popup`窗口是否依然存在,确认后激活该窗口。
当前窗口获得焦点时,会触发`focus`事件;当前窗口失去焦点时,会触发`blur`事件。
## window对象的事件
### window.onerror
浏览器脚本发生错误时,会触发window对象的error事件。我们可以通过`window.onerror`属性对该事件指定回调函数。
```javascript
window.onerror = function (message, filename, lineno, colno, error) {
console.log("出错了!--> %s", error.stack);
};
```
error事件的回调函数,一共可以有五个参数,它们的含义依次如下。
- 出错信息
- 出错脚本的网址
- 行号
- 列号
- 错误对象
老式浏览器只支持前三个参数。
需要注意的是,如果脚本网址与网页网址不在同一个域(比如使用了CDN),浏览器根本不会提供详细的出错信息,只会提示出错,错误类型是“Script error.”,行号为0,其他信息都没有。这是浏览器防止向外部脚本泄漏信息。一个解决方法是在脚本所在的服务器,设置Access-Control-Allow-Origin的HTTP头信息。
```bash
Access-Control-Allow-Origin:*
```
然后,在网页的script标签中设置crossorigin属性。
```html
<script crossorigin="anonymous" src="//example.com/file.js"></script>
```
上面代码的`crossorigin="anonymous"`表示,读取文件不需要身份信息,即不需要cookie和HTTP认证信息。如果设为`crossorigin="use-credentials"`,就表示浏览器会上传cookie和HTTP认证信息,同时还需要服务器端打开HTTP头信息Access-Control-Allow-Credentials。
并不是所有的错误,都会触发JavaScript的error事件(即让JavaScript报错),只限于以下三类事件。
- JavaScript语言错误
- JavaScript脚本文件不存在
- 图像文件不存在
以下两类事件不会触发JavaScript的error事件。
- CSS文件不存在
- iframe文件不存在
## alert(),prompt(),confirm()
`alert()`、`prompt()`、`confirm()`都是浏览器与用户互动的全局方法。它们会弹出不同的对话框,要求用户做出回应。
需要注意的是,`alert()`、`prompt()`、`confirm()`这三个方法弹出的对话框,都是浏览器统一规定的式样,是无法定制的。
`alert`方法弹出的对话框,只有一个“确定”按钮,往往用来通知用户某些信息。
```javascript
// 格式
alert(message);
// 实例
alert('Hello World');
```
用户只有点击“确定”按钮,对话框才会消失。在对话框弹出期间,浏览器窗口处于冻结状态,如果不点“确定”按钮,用户什么也干不了。
`prompt`方法弹出的对话框,在提示文字的下方,还有一个输入框,要求用户输入信息,并有“确定”和“取消”两个按钮。它往往用来获取用户输入的数据。
```javascript
// 格式
var result = prompt(text[, default]);
// 实例
var result = prompt('您的年龄?', 25)
```
上面代码会跳出一个对话框,文字提示为“您的年龄?”,要求用户在对话框中输入自己的年龄(默认显示25)。
`alert`方法的参数只能是字符串,没法使用CSS样式,但是可以用`\n`指定换行。
```javascript
alert('本条提示\n分成两行');
```
`prompt`方法的返回值是一个字符串(有可能为空)或者`null`,具体分成三种情况。
1. 用户输入信息,并点击“确定”,则用户输入的信息就是返回值。
2. 用户没有输入信息,直接点击“确定”,则输入框的默认值就是返回值。
3. 用户点击了“取消”(或者按了Esc按钮),则返回值是`null`。
`prompt`方法的第二个参数是可选的,但是如果不提供的话,IE浏览器会在输入框中显示`undefined`。因此,最好总是提供第二个参数,作为输入框的默认值。
`confirm`方法弹出的对话框,除了提示信息之外,只有“确定”和“取消”两个按钮,往往用来征询用户的意见。
```javascript
// 格式
var result = confirm(message);
// 实例
var result = confirm("你最近好吗?");
```
上面代码弹出一个对话框,上面只有一行文字“你最近好吗?”,用户选择点击“确定”或“取消”。
`confirm`方法返回一个布尔值,如果用户点击“确定”,则返回`true`;如果用户点击“取消”,则返回`false`。
```javascript
var okay = confirm('Please confirm this message.');
if (okay) {
// 用户按下“确定”
} else {
// 用户按下“取消”
}
```
`confirm`的一个用途是,当用户离开当前页面时,弹出一个对话框,问用户是否真的要离开。
```javascript
window.onunload = function() {
return confirm('你确定要离开当面页面吗?');
}
```
<h2 id="6.4">history对象</h2>
## 概述
浏览器窗口有一个`history`对象,用来保存浏览历史。
比如,当前窗口先后访问了三个地址,那么`history`对象就包括三项,`history.length`属性等于3。
```javascript
history.length // 3
```
`history`对象提供了一系列方法,允许在浏览历史之间移动。
- `back()`:移动到上一个访问页面,等同于浏览器的后退键。
- `forward()`:移动到下一个访问页面,等同于浏览器的前进键。
- `go()`:接受一个整数作为参数,移动到该整数指定的页面,比如`go(1)`相当于`forward()`,`go(-1)`相当于`back()`。
```javascript
history.back();
history.forward();
history.go(-2);
```
如果移动的位置超出了访问历史的边界,以上三个方法并不报错,而是默默的失败。
以下命令相当于刷新当前页面。
```javascript
history.go(0);
```
常见的“返回上一页”链接,代码如下。
```javascript
document.getElementById('backLink').onclick = function () {
window.history.back();
}
```
注意,返回上一页时,页面通常是从浏览器缓存之中加载,而不是重新要求服务器发送新的网页。
## history.pushState(),history.replaceState()
HTML5为history对象添加了两个新方法,history.pushState() 和 history.replaceState(),用来在浏览历史中添加和修改记录。所有主流浏览器都支持该方法(包括IE10)。
```javascript
if (!!(window.history && history.pushState)){
// 支持History API
} else {
// 不支持
}
```
上面代码可以用来检查,当前浏览器是否支持History API。如果不支持的话,可以考虑使用Polyfill库[History.js]( https://github.com/browserstate/history.js/)。
history.pushState方法接受三个参数,依次为:
- **state**:一个与指定网址相关的状态对象,popstate事件触发时,该对象会传入回调函数。如果不需要这个对象,此处可以填null。
- **title**:新页面的标题,但是所有浏览器目前都忽略这个值,因此这里可以填null。
- **url**:新的网址,必须与当前页面处在同一个域。浏览器的地址栏将显示这个网址。
假定当前网址是`example.com/1.html`,我们使用pushState方法在浏览记录(history对象)中添加一个新记录。
```javascript
var stateObj = { foo: "bar" };
history.pushState(stateObj, "page 2", "2.html");
```
添加上面这个新记录后,浏览器地址栏立刻显示`example.com/2.html`,但并不会跳转到2.html,甚至也不会检查2.html是否存在,它只是成为浏览历史中的最新记录。假定这时你访问了google.com,然后点击了倒退按钮,页面的url将显示2.html,但是内容还是原来的1.html。你再点击一次倒退按钮,url将显示1.html,内容不变。
> 注意,pushState方法不会触发页面刷新。
如果 pushState 的url参数,设置了一个当前网页的#号值(即hash),并不会触发hashchange事件。如果设置了一个非同域的网址,则会报错。
```javascript
// 报错
history.pushState(null, null, 'https://twitter.com/hello');
```
上面代码中,pushState想要插入一个非同域的网址,导致报错。这样设计的目的是,防止恶意代码让用户以为他们是在另一个网站上。
`history.replaceState`方法的参数与`pushState`方法一模一样,区别是它修改浏览历史中当前页面的值。下面的例子假定当前网页是example.com/example.html。
```javascript
history.pushState({page: 1}, "title 1", "?page=1");
history.pushState({page: 2}, "title 2", "?page=2");
history.replaceState({page: 3}, "title 3", "?page=3");
history.back(); // url显示为http://example.com/example.html?page=1
history.back(); // url显示为http://example.com/example.html
history.go(2); // url显示为http://example.com/example.html?page=3
```
## history.state属性
history.state属性保存当前页面的state对象。
```javascript
history.pushState({page: 1}, "title 1", "?page=1");
history.state
// { page: 1 }
```
## popstate事件
每当同一个文档的浏览历史(即history对象)出现变化时,就会触发popstate事件。需要注意的是,仅仅调用pushState方法或replaceState方法 ,并不会触发该事件,只有用户点击浏览器倒退按钮和前进按钮,或者使用JavaScript调用back、forward、go方法时才会触发。另外,该事件只针对同一个文档,如果浏览历史的切换,导致加载不同的文档,该事件也不会触发。
使用的时候,可以为popstate事件指定回调函数。这个回调函数的参数是一个event事件对象,它的state属性指向pushState和replaceState方法为当前url所提供的状态对象(即这两个方法的第一个参数)。
```javascript
window.onpopstate = function(event) {
console.log("location: " + document.location);
console.log("state: " + JSON.stringify(event.state));
};
// 或者
window.addEventListener('popstate', function(event) {
console.log("location: " + document.location);
console.log("state: " + JSON.stringify(event.state));
});
```
上面代码中的event.state,就是通过pushState和replaceState方法,为当前url绑定的state对象。
这个state对象也可以直接通过history对象读取。
```javascript
var currentState = history.state;
```
另外,需要注意的是,当页面第一次加载的时候,在onload事件发生后,Chrome和Safari浏览器(Webkit核心)会触发popstate事件,而Firefox和IE浏览器不会。
## URLSearchParams API
URLSearchParams API用于处理URL之中的查询字符串,即问号之后的部分。没有部署这个API的浏览器,可以用[url-search-params](url-search-params)这个垫片库。
```javascript
var paramsString = 'q=URLUtils.searchParams&topic=api'
var searchParams = new URLSearchParams(paramsString);
```
URLSearchParams有以下方法,用来操作某个参数。
- `has()`:返回一个布尔值,表示是否具有某个参数
- `get()`:返回指定参数的第一个值
- `getAll()`:返回一个数组,成员是指定参数的所有值
- `set()`:设置指定参数
- `delete()`:删除指定参数
- `append()`:在查询字符串之中,追加一个键值对
- `toString()`:返回整个查询字符串
```javascript
var paramsString = "q=URLUtils.searchParams&topic=api"
var searchParams = new URLSearchParams(paramsString);
searchParams.has('topic') // true
searchParams.get('topic') // "api"
searchParams.getAll('topic') // ["api"]
searchParams.get('foo') // null,注意Firefox返回空字符串
searchParams.set('foo', 2);
searchParams.get('foo') // 2
searchParams.append('topic', 'webdev');
searchParams.toString() // "q=URLUtils.searchParams&topic=api&foo=2&topic=webdev"
searchParams.append('foo', 3);
searchParams.getAll('foo') // [2, 3]
searchParams.delete('topic');
searchParams.toString() // "q=URLUtils.searchParams&foo=2&foo=3"
```
URLSearchParams还有三个方法,用来遍历所有参数。
- `key()`:遍历所有参数名
- `values()`:遍历所有参数值
- `entries()`:遍历所有参数的键值对
上面三个方法返回的都是Iterator对象。
```javascript
var searchParams = new URLSearchParams('key1=value1&key2=value2');
for(var key of searchParams.keys()) {
console.log(key);
}
// key1
// key2
for(var value of searchParams.values()) {
console.log(value);
}
// value1
// value2
for(var pair of searchParams.entries()) {
console.log(pair[0]+ ', '+ pair[1]);
}
// key1, value1
// key2, value2
```
在Chrome浏览器之中,`URLSearchParams`实例本身就是Iterator对象,与`entries`方法返回值相同。所以,可以写成下面的样子。
```javascript
for (var p of searchParams) {
console.log(p);
}
```
下面是一个替换当前URL的例子。
```javascript
// URL: https://example.com?version=1.0
var params = new URLSearchParams(location.search.slice(1));
params.set('version', 2.0);
window.history.replaceState({}, '', `${location.pathname}?${params}`);
// URL: https://example.com?version=2.0
```
`URLSearchParams`实例可以当作POST数据发送,所有数据都会URL编码。
```javascript
let params = new URLSearchParams();
params.append('api_key', '1234567890');
fetch('https://example.com/api', {
method: 'POST',
body: params
}).then(...)
```
DOM的`a`元素节点的`searchParams`属性,就是一个`URLSearchParams`实例。
```javascript
var a = document.createElement('a');
a.href = 'https://example.com?filter=api';
a.searchParams.get('filter') // "api"
```
`URLSearchParams`还可以与`URL`接口结合使用。
```javascript
var url = new URL(location);
var foo = url.searchParams.get('foo') || 'somedefault';
```
<h2 id="6.5">Cookie</h2>
## 概述
Cookie是服务器保存在浏览器的一小段文本信息,每个Cookie的大小一般不能超过4KB。浏览器每次向服务器发出请求,就会自动附上这段信息。
Cookie保存以下几方面的信息。
- Cookie的名字
- Cookie的值
- 到期时间
- 所属域名(默认是当前域名)
- 生效的路径(默认是当前网址)
举例来说,如果当前URL是`www.example.com`,那么Cookie的路径就是根目录`/`。这意味着,这个Cookie对该域名的根路径和它的所有子路径都有效。如果路径设为`/forums`,那么这个Cookie只有在访问`www.example.com/forums`及其子路径时才有效。
浏览器可以设置不接受Cookie,也可以设置不向服务器发送Cookie。`window.navigator.cookieEnabled`属性返回一个布尔值,表示浏览器是否打开Cookie功能。
`document.cookie`属性返回当前网页的Cookie。
```javascript
// 读取当前网页的所有cookie
var allCookies = document.cookie;
```
由于`document.cookie`返回的是分号分隔的所有Cookie,所以必须手动还原,才能取出每一个Cookie的值。
```javascript
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++) {
// cookies[i] name=value形式的单个Cookie
}
```
`document.cookie`属性是可写的,可以通过它为当前网站添加Cookie。
```javascript
document.cookie = 'fontSize=14';
```
Cookie的值必须写成`key=value`的形式。注意,等号两边不能有空格。另外,写入Cookie的时候,必须对分号、逗号和空格进行转义(它们都不允许作为Cookie的值),这可以用`encodeURIComponent`方法达到。
但是,`document.cookie`一次只能写入一个Cookie,而且写入并不是覆盖,而是添加。
```javascript
document.cookie = 'test1=hello';
document.cookie = 'test2=world';
document.cookie
// test1=hello;test2=world
```
`document.cookie`属性读写行为的差异(一次可以读出全部Cookie,但是只能写入一个Cookie),与服务器与浏览器之间的Cookie通信格式有关。浏览器向服务器发送Cookie的时候,是一行将所有Cookie全部发送。
```http
GET /sample_page.html HTTP/1.1
Host: www.example.org
Cookie: cookie_name1=cookie_value1; cookie_name2=cookie_value2
Accept: */*
```
上面的头信息中,`Cookie`字段是浏览器向服务器发送的Cookie。
服务器告诉浏览器需要储存Cookie的时候,则是分行指定。
```http
HTTP/1.0 200 OK
Content-type: text/html
Set-Cookie: cookie_name1=cookie_value1
Set-Cookie: cookie_name2=cookie_value2; expires=Sun, 16 Jul 3567 06:23:41 GMT
```
上面的头信息中,`Set-Cookie`字段是服务器写入浏览器的Cookie,一行一个。
如果仔细看浏览器向服务器发送的Cookie,就会意识到,Cookie协议存在问题。对于服务器来说,有两点是无法知道的。
- Cookie的各种属性,比如何时过期。
- 哪个域名设置的Cookie,因为Cookie可能是一级域名设的,也可能是任意一个二级域名设的。
## Cookie的属性
除了Cookie本身的内容,还有一些可选的属性也是可以写入的,它们都必须以分号开头。
```http
Set-Cookie: value[; expires=date][; domain=domain][; path=path][; secure]
```
上面的`Set-Cookie`字段,用分号分隔多个属性。它们的含义如下。
(1)value属性
`value`属性是必需的,它是一个键值对,用于指定Cookie的值。
(2)expires属性
`expires`属性用于指定Cookie过期时间。它的格式采用`Date.toUTCString()`的格式。
如果不设置该属性,或者设为`null`,Cookie只在当前会话(session)有效,浏览器窗口一旦关闭,当前Session结束,该Cookie就会被删除。
浏览器根据本地时间,决定Cookie是否过期,由于本地时间是不精确的,所以没有办法保证Cookie一定会在服务器指定的时间过期。
(3)domain属性
`domain`属性指定Cookie所在的域名,比如`example.com`或`.example.com`(这种写法将对所有子域名生效)、`subdomain.example.com`。
如果未指定,默认为设定该Cookie的域名。所指定的域名必须是当前发送Cookie的域名的一部分,比如当前访问的域名是`example.com`,就不能将其设为`google.com`。只有访问的域名匹配domain属性,Cookie才会发送到服务器。
(4)path属性
`path`属性用来指定路径,必须是绝对路径(比如`/`、`/mydir`),如果未指定,默认为请求该Cookie的网页路径。
只有`path`属性匹配向服务器发送的路径,Cokie才会发送。这里的匹配不是绝对匹配,而是从根路径开始,只要`path`属性匹配发送路径的一部分,就可以发送。比如,`path`属性等于`/blog`,则发送路径是`/blog`或者`/blogroll`,Cookie都会发送。`path`属性生效的前提是`domain`属性匹配。
(5)secure
`secure`属性用来指定Cookie只能在加密协议HTTPS下发送到服务器。
该属性只是一个开关,不需要指定值。如果通信是HTTPS协议,该开关自动打开。
(6)max-age
`max-age`属性用来指定Cookie有效期,比如`60 * 60 * 24 * 365`(即一年31536e3秒)。
(7)HttpOnly
`HttpOnly`属性用于设置该Cookie不能被JavaScript读取,详见下文的说明。
以上属性可以同时设置一个或多个,也没有次序的要求。如果服务器想改变一个早先设置的Cookie,必须同时满足四个条件:Cookie的`key`、`domain`、`path`和`secure`都匹配。也就是说,如果原始的Cookie是用如下的`Set-Cookie`设置的。
```http
Set-Cookie: key1=value1; domain=example.com; path=/blog
```
改变上面这个cookie的值,就必须使用同样的`Set-Cookie`。
```http
Set-Cookie: key1=value2; domain=example.com; path=/blog
```
只要有一个属性不同,就会生成一个全新的Cookie,而不是替换掉原来那个Cookie。
```http
Set-Cookie: key1=value2; domain=example.com; path=/
```
上面的命令设置了一个全新的同名Cookie,但是`path`属性不一样。下一次访问`example.com/blog`的时候,浏览器将向服务器发送两个同名的Cookie。
```http
Cookie: key1=value1; key1=value2
```
上面代码的两个Cookie是同名的,匹配越精确的Cookie排在越前面。
浏览器设置这些属性的写法如下。
```javascript
document.cookie = 'fontSize=14; '
+ 'expires=' + someDate.toGMTString() + '; '
+ 'path=/subdirectory; '
+ 'domain=*.example.com';
```
另外,这些属性只能用来设置Cookie。一旦设置完成,就没有办法读取这些属性的值。
删除一个Cookie的简便方法,就是设置`expires`属性等于0,或者等于一个过去的日期。
```javascript
document.cookie = 'fontSize=;expires=Thu, 01-Jan-1970 00:00:01 GMT';
```
上面代码中,名为`fontSize`的Cookie的值为空,过期时间设为1970年1月1月零点,就等同于删除了这个Cookie。
## Cookie的限制
浏览器对Cookie数量的限制,规定不一样。目前,Firefox是每个域名最多设置50个Cookie,而Safari和Chrome没有域名数量的限制。
所有Cookie的累加长度限制为4KB。超过这个长度的Cookie,将被忽略,不会被设置。
由于Cookie可能存在数量限制,有时为了规避限制,可以将cookie设置成下面的形式。
```http
name=a=b&c=d&e=f&g=h
```
上面代码实际上是设置了一个Cookie,但是这个Cookie内部使用`&`符号,设置了多部分的内容。因此,读取这个Cookie的时候,就要自行解析,得到多个键值对。这样就规避了cookie的数量限制。
## 同源政策
浏览器的同源政策规定,两个网址只要域名相同和端口相同,就可以共享Cookie。
注意,这里不要求协议相同。也就是说,`http://example.com`设置的Cookie,可以被`https://example.com`读取。
## HTTP-Only Cookie
设置cookie的时候,如果服务器加上了`HTTPOnly`属性,则这个Cookie无法被JavaScript读取(即`document.cookie`不会返回这个Cookie的值),只用于向服务器发送。
```http
Set-Cookie: key=value; HttpOnly
```
上面的这个Cookie将无法用JavaScript获取。进行AJAX操作时,`XMLHttpRequest`对象也无法包括这个Cookie。这主要是为了防止XSS攻击盗取Cookie。
<h2 id="6.6">Web Storage:浏览器端数据储存机制</h2>
## 概述
这个API的作用是,使得网页可以在浏览器端储存数据。它分成两类:sessionStorage和localStorage。
sessionStorage保存的数据用于浏览器的一次会话,当会话结束(通常是该窗口关闭),数据被清空;localStorage保存的数据长期存在,下一次访问该网站的时候,网页可以直接读取以前保存的数据。除了保存期限的长短不同,这两个对象的属性和方法完全一样。
它们很像cookie机制的强化版,能够动用大得多的存储空间。目前,每个域名的存储上限视浏览器而定,Chrome是2.5MB,Firefox和Opera是5MB,IE是10MB。其中,Firefox的存储空间由一级域名决定,而其他浏览器没有这个限制。也就是说,在Firefox中,`a.example.com`和`b.example.com`共享5MB的存储空间。另外,与Cookie一样,它们也受同域限制。某个网页存入的数据,只有同域下的网页才能读取。
通过检查window对象是否包含sessionStorage和localStorage属性,可以确定浏览器是否支持这两个对象。
```javascript
function checkStorageSupport() {
// sessionStorage
if (window.sessionStorage) {
return true;
} else {
return false;
}
// localStorage
if (window.localStorage) {
return true;
} else {
return false;
}
}
```
## 操作方法
### 存入/读取数据
sessionStorage和localStorage保存的数据,都以“键值对”的形式存在。也就是说,每一项数据都有一个键名和对应的值。所有的数据都是以文本格式保存。
存入数据使用setItem方法。它接受两个参数,第一个是键名,第二个是保存的数据。
```javascript
sessionStorage.setItem("key","value");
localStorage.setItem("key","value");
```
读取数据使用getItem方法。它只有一个参数,就是键名。
```javascript
var valueSession = sessionStorage.getItem("key");
var valueLocal = localStorage.getItem("key");
```
### 清除数据
removeItem方法用于清除某个键名对应的数据。
```javascript
sessionStorage.removeItem('key');
localStorage.removeItem('key');
```
clear方法用于清除所有保存的数据。
```javascript
sessionStorage.clear();
localStorage.clear();
```
### 遍历操作
利用length属性和key方法,可以遍历所有的键。
```javascript
for(var i = 0; i < localStorage.length; i++){
console.log(localStorage.key(i));
}
```
其中的key方法,根据位置(从0开始)获得键值。
```javascript
localStorage.key(1);
```
## storage事件
当储存的数据发生变化时,会触发storage事件。我们可以指定这个事件的回调函数。
```javascript
window.addEventListener("storage",onStorageChange);
```
回调函数接受一个event对象作为参数。这个event对象的key属性,保存发生变化的键名。
```javascript
function onStorageChange(e) {
console.log(e.key);
}
```
除了key属性,event对象的属性还有三个:
- oldValue:更新前的值。如果该键为新增加,则这个属性为null。
- newValue:更新后的值。如果该键被删除,则这个属性为null。
- url:原始触发storage事件的那个网页的网址。
值得特别注意的是,该事件不在导致数据变化的当前页面触发。如果浏览器同时打开一个域名下面的多个页面,当其中的一个页面改变sessionStorage或localStorage的数据时,其他所有页面的storage事件会被触发,而原始页面并不触发storage事件。可以通过这种机制,实现多个窗口之间的通信。所有浏览器之中,只有IE浏览器除外,它会在所有页面触发storage事件。
<h2 id="6.7">同源政策</h2>
浏览器安全的基石是”同源政策“([same-origin policy](https://en.wikipedia.org/wiki/Same-origin_policy))。很多开发者都知道这一点,但了解得不全面。
本节详细介绍”同源政策“的各个方面,以及如何规避它。
## 概述
### 含义
1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。
最初,它的含义是指,A网页设置的 Cookie,B网页不能打开,除非这两个网页“同源”。所谓“同源”指的是”三个相同“。
> - 协议相同
> - 域名相同
> - 端口相同
举例来说,`http://www.example.com/dir/page.html`这个网址,协议是`http://`,域名是`www.example.com`,端口是`80`(默认端口可以省略)。它的同源情况如下。
- `http://www.example.com/dir2/other.html`:同源
- `http://example.com/dir/other.html`:不同源(域名不同)
- `http://v2.www.example.com/dir/other.html`:不同源(域名不同)
- `http://www.example.com:81/dir/other.html`:不同源(端口不同)
- `https://www.example.com/dir/page.html`:不同源(协议不同)
### 目的
同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。
设想这样一种情况:A网站是一家银行,用户登录以后,又去浏览其他网站。如果其他网站可以读取A网站的 Cookie,会发生什么?
很显然,如果 Cookie 包含隐私(比如存款总额),这些信息就会泄漏。更可怕的是,Cookie 往往用来保存用户的登录状态,如果用户没有退出登录,其他网站就可以冒充用户,为所欲为。因为浏览器同时还规定,提交表单不受同源政策的限制。
由此可见,”同源政策“是必需的,否则 Cookie 可以共享,互联网就毫无安全可言了。
### 限制范围
随着互联网的发展,“同源政策”越来越严格。目前,如果非同源,共有三种行为受到限制。
> (1) Cookie、LocalStorage 和 IndexDB 无法读取。
>
> (2) DOM 无法获得。
>
> (3) AJAX 请求不能发送。
虽然这些限制是必要的,但是有时很不方便,合理的用途也受到影响。下面,我将详细介绍,如何规避上面三种限制。
## Cookie
Cookie 是服务器写入浏览器的一小段信息,只有同源的网页才能共享。但是,两个网页一级域名相同,只是二级域名不同,浏览器允许通过设置`document.domain`共享 Cookie。
举例来说,A网页是`http://w1.example.com/a.html`,B网页是`http://w2.example.com/b.html`,那么只要设置相同的`document.domain`,两个网页就可以共享Cookie。
```javascript
document.domain = 'example.com';
```
现在,A网页通过脚本设置一个 Cookie。
```javascript
document.cookie = "test1=hello";
```
B网页就可以读到这个 Cookie。
```javascript
var allCookie = document.cookie;
```
注意,这种方法只适用于 Cookie 和 iframe 窗口,LocalStorage 和 IndexDB 无法通过这种方法,规避同源政策,而要使用下文介绍的PostMessage API。
另外,服务器也可以在设置Cookie的时候,指定Cookie的所属域名为一级域名,比如`.example.com`。
```http
Set-Cookie: key=value; domain=.example.com; path=/
```
这样的话,二级域名和三级域名不用做任何设置,都可以读取这个Cookie。
## iframe
如果两个网页不同源,就无法拿到对方的DOM。典型的例子是`iframe`窗口和`window.open`方法打开的窗口,它们与父窗口无法通信。
比如,父窗口运行下面的命令,如果`iframe`窗口不是同源,就会报错。
```javascript
document.getElementById("myIFrame").contentWindow.document
// Uncaught DOMException: Blocked a frame from accessing a cross-origin frame.
```
上面命令中,父窗口想获取子窗口的DOM,因为跨源导致报错。
反之亦然,子窗口获取主窗口的DOM也会报错。
```javascript
window.parent.document.body
// 报错
```
如果两个窗口一级域名相同,只是二级域名不同,那么设置上一节介绍的`document.domain`属性,就可以规避同源政策,拿到DOM。
对于完全不同源的网站,目前有三种方法,可以解决跨域窗口的通信问题。
> - 片段识别符(fragment identifier)
> - window.name
> - 跨文档通信API(Cross-document messaging)
### 片段识别符
片段标识符(fragment identifier)指的是,URL的`#`号后面的部分,比如`http://example.com/x.html#fragment`的`#fragment`。如果只是改变片段标识符,页面不会重新刷新。
父窗口可以把信息,写入子窗口的片段标识符。
```javascript
var src = originURL + '#' + data;
document.getElementById('myIFrame').src = src;
```
子窗口通过监听`hashchange`事件得到通知。
```javascript
window.onhashchange = checkMessage;
function checkMessage() {
var message = window.location.hash;
// ...
}
```
同样的,子窗口也可以改变父窗口的片段标识符。
```javascript
parent.location.href= target + “#” + hash;
```
### window.name
浏览器窗口有`window.name`属性。这个属性的最大特点是,无论是否同源,只要在同一个窗口里,前一个网页设置了这个属性,后一个网页可以读取它。
父窗口先打开一个子窗口,载入一个不同源的网页,该网页将信息写入`window.name`属性。
```javascript
window.name = data;
```
接着,子窗口跳回一个与主窗口同域的网址。
```javascript
location = 'http://parent.url.com/xxx.html';
```
然后,主窗口就可以读取子窗口的`window.name`了。
```javascript
var data = document.getElementById('myFrame').contentWindow.name;
```
这种方法的优点是,`window.name`容量很大,可以放置非常长的字符串;缺点是必须监听子窗口`window.name`属性的变化,影响网页性能。
### window.postMessage
上面两种方法都属于破解,HTML5为了解决这个问题,引入了一个全新的API:跨文档通信 API(Cross-document messaging)。
这个API为`window`对象新增了一个`window.postMessage`方法,允许跨窗口通信,不论这两个窗口是否同源。
举例来说,父窗口`aaa.com`向子窗口`bbb.com`发消息,调用`postMessage`方法就可以了。
```javascript
var popup = window.open('http://bbb.com', 'title');
popup.postMessage('Hello World!', 'http://bbb.com');
```
`postMessage`方法的第一个参数是具体的信息内容,第二个参数是接收消息的窗口的源(origin),即“协议 + 域名 + 端口”。也可以设为`*`,表示不限制域名,向所有窗口发送。
子窗口向父窗口发送消息的写法类似。
```javascript
window.opener.postMessage('Nice to see you', 'http://aaa.com');
```
父窗口和子窗口都可以通过`message`事件,监听对方的消息。
```javascript
window.addEventListener('message', function(e) {
console.log(e.data);
},false);
```
`message`事件的事件对象`event`,提供以下三个属性。
> - `event.source`:发送消息的窗口
> - `event.origin`: 消息发向的网址
> - `event.data`: 消息内容
下面的例子是,子窗口通过`event.source`属性引用父窗口,然后发送消息。
```javascript
window.addEventListener('message', receiveMessage);
function receiveMessage(event) {
event.source.postMessage('Nice to see you!', '*');
}
```
上面代码有几个地方需要注意。首先,`receiveMessage`函数里面没有过滤信息的来源,任意网址发来的信息都会被处理。其次,`postMessage`方法中指定的目标窗口的网址是一个星号,表示该信息可以向任意网址发送。通常来说,这两种做法是不推荐的,因为不够安全,可能会被恶意利用。
`event.origin`属性可以过滤不是发给本窗口的消息。
```javascript
window.addEventListener('message', receiveMessage);
function receiveMessage(event) {
if (event.origin !== 'http://aaa.com') return;
if (event.data === 'Hello World') {
event.source.postMessage('Hello', event.origin);
} else {
console.log(event.data);
}
}
```
### LocalStorage
通过`window.postMessage`,读写其他窗口的 LocalStorage 也成为了可能。
下面是一个例子,主窗口写入iframe子窗口的`localStorage`。
```javascript
window.onmessage = function(e) {
if (e.origin !== 'http://bbb.com') {
return;
}
var payload = JSON.parse(e.data);
localStorage.setItem(payload.key, JSON.stringify(payload.data));
};
```
上面代码中,子窗口将父窗口发来的消息,写入自己的LocalStorage。
父窗口发送消息的代码如下。
```javascript
var win = document.getElementsByTagName('iframe')[0].contentWindow;
var obj = { name: 'Jack' };
win.postMessage(JSON.stringify({key: 'storage', data: obj}), 'http://bbb.com');
```
加强版的子窗口接收消息的代码如下。
```javascript
window.onmessage = function(e) {
if (e.origin !== 'http://bbb.com') return;
var payload = JSON.parse(e.data);
switch (payload.method) {
case 'set':
localStorage.setItem(payload.key, JSON.stringify(payload.data));
break;
case 'get':
var parent = window.parent;
var data = localStorage.getItem(payload.key);
parent.postMessage(data, 'http://aaa.com');
break;
case 'remove':
localStorage.removeItem(payload.key);
break;
}
};
```
加强版的父窗口发送消息代码如下。
```javascript
var win = document.getElementsByTagName('iframe')[0].contentWindow;
var obj = { name: 'Jack' };
// 存入对象
win.postMessage(JSON.stringify({key: 'storage', method: 'set', data: obj}), 'http://bbb.com');
// 读取对象
win.postMessage(JSON.stringify({key: 'storage', method: "get"}), "*");
window.onmessage = function(e) {
if (e.origin != 'http://aaa.com') return;
// "Jack"
console.log(JSON.parse(e.data).name);
};
```
## AJAX
同源政策规定,AJAX请求只能发给同源的网址,否则就报错。
除了架设服务器代理(浏览器请求同源服务器,再由后者请求外部服务),有三种方法规避这个限制。
> - JSONP
> - WebSocket
> - CORS
### JSONP
JSONP是服务器与客户端跨源通信的常用方法。最大特点就是简单适用,老式浏览器全部支持,服务器改造非常小。
它的基本思想是,网页通过添加一个`<script>`元素,向服务器请求JSON数据,这种做法不受同源政策限制;服务器收到请求后,将数据放在一个指定名字的回调函数里传回来。
首先,网页动态插入`<script>`元素,由它向跨源网址发出请求。
```javascript
function addScriptTag(src) {
var script = document.createElement('script');
script.setAttribute("type","text/javascript");
script.src = src;
document.body.appendChild(script);
}
window.onload = function () {
addScriptTag('http://example.com/ip?callback=foo');
}
function foo(data) {
console.log('Your public IP address is: ' + data.ip);
};
```
上面代码通过动态添加`<script>`元素,向服务器`example.com`发出请求。注意,该请求的查询字符串有一个`callback`参数,用来指定回调函数的名字,这对于JSONP是必需的。
服务器收到这个请求以后,会将数据放在回调函数的参数位置返回。
```javascript
foo({
"ip": "8.8.8.8"
});
```
由于`<script>`元素请求的脚本,直接作为代码运行。这时,只要浏览器定义了`foo`函数,该函数就会立即调用。作为参数的JSON数据被视为JavaScript对象,而不是字符串,因此避免了使用`JSON.parse`的步骤。
### WebSocket
WebSocket是一种通信协议,使用`ws://`(非加密)和`wss://`(加密)作为协议前缀。该协议不实行同源政策,只要服务器支持,就可以通过它进行跨源通信。
下面是一个例子,浏览器发出的WebSocket请求的头信息(摘自[维基百科](https://en.wikipedia.org/wiki/WebSocket))。
```http
GET /chat HTTP/1.1
Host: server.example.com
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Key: x3JJHMbDL1EzLkh9GBhXDw==
Sec-WebSocket-Protocol: chat, superchat
Sec-WebSocket-Version: 13
Origin: http://example.com
```
上面代码中,有一个字段是`Origin`,表示该请求的请求源(origin),即发自哪个域名。
正是因为有了`Origin`这个字段,所以WebSocket才没有实行同源政策。因为服务器可以根据这个字段,判断是否许可本次通信。如果该域名在白名单内,服务器就会做出如下回应。
```http
HTTP/1.1 101 Switching Protocols
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Accept: HSmrc0sMlYUkAGmm5OPpG2HaGWk=
Sec-WebSocket-Protocol: chat
```
### CORS
CORS是跨源资源分享(Cross-Origin Resource Sharing)的缩写。它是W3C标准,是跨源AJAX请求的根本解决方法。相比JSONP只能发`GET`请求,CORS允许任何类型的请求。
下一节将详细介绍,如何通过CORS完成跨源AJAX请求。
<h2 id="6.8">AJAX</h2>
浏览器与服务器之间,采用HTTP协议通信。用户在浏览器地址栏键入一个网址,或者通过网页表单向服务器提交内容,这时浏览器就会向服务器发出HTTP请求。
1999年,微软公司发布IE浏览器5.0版,第一次引入新功能:允许JavaScript脚本向服务器发起HTTP请求。这个功能当时并没有引起注意,直到2004年Gmail发布和2005年Google Map发布,才引起广泛重视。2005年2月,AJAX这个词第一次正式提出,指围绕这个功能进行开发的一整套做法。从此,AJAX成为脚本发起HTTP通信的代名词,W3C也在2006年发布了它的国际标准。
具体来说,AJAX包括以下几个步骤。
1. 创建AJAX对象
1. 发出HTTP请求
1. 接收服务器传回的数据
1. 更新网页数据
概括起来,就是一句话,AJAX通过原生的`XMLHttpRequest`对象发出HTTP请求,得到服务器返回的数据后,再进行处理。
AJAX可以是同步请求,也可以是异步请求。但是,大多数情况下,特指异步请求。因为同步的Ajax请求,对浏览器有”堵塞效应“。
## XMLHttpRequest对象
`XMLHttpRequest`对象用来在浏览器与服务器之间传送数据。
```javascript
var ajax = new XMLHttpRequest();
ajax.open('GET', 'http://www.example.com/page.php', true);
```
上面代码向指定的服务器网址,发出GET请求。
然后,AJAX指定回调函数,监听通信状态(`readyState`属性)的变化。
```javascript
ajax.onreadystatechange = handleStateChange;
```
一旦拿到服务器返回的数据,AJAX不会刷新整个网页,而是只更新相关部分,从而不打断用户正在做的事情。
注意,AJAX只能向同源网址(协议、域名、端口都相同)发出HTTP请求,如果发出跨源请求,就会报错(详见《同源政策》和《CORS机制》两节)。
虽然名字里面有`XML`,但是实际上,XMLHttpRequest可以报送各种数据,包括字符串和二进制,而且除了HTTP,它还支持通过其他协议传送(比如File和FTP)。
下面是`XMLHttpRequest`对象的典型用法。
```javascript
var xhr = new XMLHttpRequest();
// 指定通信过程中状态改变时的回调函数
xhr.onreadystatechange = function(){
// 通信成功时,状态值为4
if (xhr.readyState === 4){
if (xhr.status === 200){
console.log(xhr.responseText);
} else {
console.error(xhr.statusText);
}
}
};
xhr.onerror = function (e) {
console.error(xhr.statusText);
};
// open方式用于指定HTTP动词、请求的网址、是否异步
xhr.open('GET', '/endpoint', true);
// 发送HTTP请求
xhr.send(null);
```
`open`方法的第三个参数是一个布尔值,表示是否为异步请求。如果设为`false`,就表示这个请求是同步的,下面是一个例子。
```javascript
var request = new XMLHttpRequest();
request.open('GET', '/bar/foo.txt', false);
request.send(null);
if (request.status === 200) {
console.log(request.responseText);
}
```
## XMLHttpRequest实例的属性
### readyState
`readyState`是一个只读属性,用一个整数和对应的常量,表示XMLHttpRequest请求当前所处的状态。
- 0,对应常量`UNSENT`,表示XMLHttpRequest实例已经生成,但是`open()`方法还没有被调用。
- 1,对应常量`OPENED`,表示`send()`方法还没有被调用,仍然可以使用`setRequestHeader()`,设定HTTP请求的头信息。
- 2,对应常量`HEADERS_RECEIVED`,表示`send()`方法已经执行,并且头信息和状态码已经收到。
- 3,对应常量`LOADING`,表示正在接收服务器传来的body部分的数据,如果`responseType`属性是`text`或者空字符串,`responseText`就会包含已经收到的部分信息。
- 4,对应常量`DONE`,表示服务器数据已经完全接收,或者本次接收已经失败了。
在通信过程中,每当发生状态变化的时候,`readyState`属性的值就会发生改变。这个值每一次变化,都会触发`readyStateChange`事件。
```javascript
if (ajax.readyState == 4) {
// Handle the response.
} else {
// Show the 'Loading...' message or do nothing.
}
```
上面代码表示,只有`readyState`变为4时,才算确认请求已经成功,其他值都表示请求还在进行中。
### onreadystatechange
`onreadystatechange`属性指向一个回调函数,当`readystatechange`事件发生的时候,这个回调函数就会调用,并且XMLHttpRequest实例的`readyState`属性也会发生变化。
另外,如果使用`abort()`方法,终止XMLHttpRequest请求,`onreadystatechange`回调函数也会被调用。
```javascript
var xmlhttp = new XMLHttpRequest();
xmlhttp.open( 'GET', 'http://example.com' , true );
xmlhttp.onreadystatechange = function () {
if ( XMLHttpRequest.DONE != xmlhttp.readyState ) {
return;
}
if ( 200 != xmlhttp.status ) {
return;
}
console.log( xmlhttp.responseText );
};
xmlhttp.send();
```
### response
`response`属性为只读,返回接收到的数据体(即body部分)。它的类型可以是ArrayBuffer、Blob、Document、JSON对象、或者一个字符串,这由`XMLHttpRequest.responseType`属性的值决定。
如果本次请求没有成功或者数据不完整,该属性就会等于`null`。
### responseType
`responseType`属性用来指定服务器返回数据(`xhr.response`)的类型。
- "":字符串(默认值)
- "arraybuffer":ArrayBuffer对象
- "blob":Blob对象
- "document":Document对象
- "json":JSON对象
- "text":字符串
text类型适合大多数情况,而且直接处理文本也比较方便,document类型适合返回XML文档的情况,blob类型适合读取二进制数据,比如图片文件。
```javascript
var xhr = new XMLHttpRequest();
xhr.open('GET', '/path/to/image.png', true);
xhr.responseType = 'blob';
xhr.onload = function(e) {
if (this.status == 200) {
var blob = new Blob([this.response], {type: 'image/png'});
// 或者
var blob = oReq.response;
}
};
xhr.send();
```
如果将这个属性设为ArrayBuffer,就可以按照数组的方式处理二进制数据。
```javascript
var xhr = new XMLHttpRequest();
xhr.open('GET', '/path/to/image.png', true);
xhr.responseType = 'arraybuffer';
xhr.onload = function(e) {
var uInt8Array = new Uint8Array(this.response);
for (var i = 0, len = binStr.length; i < len; ++i) {
// var byte = uInt8Array[i];
}
};
xhr.send();
```
如果将这个属性设为“json”,支持JSON的浏览器(Firefox>9,chrome>30),就会自动对返回数据调用JSON.parse() 方法。也就是说,你从xhr.response属性(注意,不是xhr.responseText属性)得到的不是文本,而是一个JSON对象。
XHR2支持Ajax的返回类型为文档,即xhr.responseType="document" 。这意味着,对于那些打开CORS的网站,我们可以直接用Ajax抓取网页,然后不用解析HTML字符串,直接对XHR回应进行DOM操作。
### responseText
`responseText`属性返回从服务器接收到的字符串,该属性为只读。如果本次请求没有成功或者数据不完整,该属性就会等于`null`。
如果服务器返回的数据格式是JSON,就可以使用`responseText`属性。
```javascript
var data = ajax.responseText;
data = JSON.parse(data);
```
### responseXML
`responseXML`属性返回从服务器接收到的Document对象,该属性为只读。如果本次请求没有成功,或者数据不完整,或者不能被解析为XML或HTML,该属性等于null。
返回的数据会被直接解析为DOM对象。
```javascript
/* 返回的XML文件如下
<?xml version="1.0" encoding="utf-8" standalone="yes" ?>
<book>
<chapter id="1">(Re-)Introducing JavaScript</chapter>
<chapter id="2">JavaScript in Action</chapter>
</book>
*/
var data = ajax.responseXML;
var chapters = data.getElementsByTagName('chapter');
```
如果服务器返回的数据,没有明示`Content-Type`头信息等于`text/xml`,可以使用`overrideMimeType()`方法,指定XMLHttpRequest对象将返回的数据解析为XML。
### status
`status`属性为只读属性,表示本次请求所得到的HTTP状态码,它是一个整数。一般来说,如果通信成功的话,这个状态码是200。
- 200, OK,访问正常
- 301, Moved Permanently,永久移动
- 304, Not Modified,未修改
- 307, Temporary Redirect,暂时重定向
- 401, Unauthorized,未授权
- 403, Forbidden,禁止访问
- 404, Not Found,未发现指定网址
- 500, Internal Server Error,服务器发生错误
基本上,只有2xx和304的状态码,表示服务器返回是正常状态。
```javascript
if (ajax.readyState == 4) {
if ( (ajax.status >= 200 && ajax.status < 300)
|| (ajax.status == 304) ) {
// Handle the response.
} else {
// Status error!
}
}
```
### statusText
`statusText`属性为只读属性,返回一个字符串,表示服务器发送的状态提示。不同于`status`属性,该属性包含整个状态信息,比如”200 OK“。
### timeout
`timeout`属性等于一个整数,表示多少毫秒后,如果请求仍然没有得到结果,就会自动终止。如果该属性等于0,就表示没有时间限制。
```javascript
var xhr = new XMLHttpRequest();
xhr.ontimeout = function () {
console.error("The request for " + url + " timed out.");
};
xhr.onload = function() {
if (xhr.readyState === 4) {
if (xhr.status === 200) {
callback.apply(xhr, args);
} else {
console.error(xhr.statusText);
}
}
};
xhr.open("GET", url, true);
xhr.timeout = timeout;
xhr.send(null);
}
```
### 事件监听接口
XMLHttpRequest第一版,只能对`onreadystatechange`这一个事件指定回调函数。该事件对所有情况作出响应。 XMLHttpRequest第二版允许对更多的事件指定回调函数。
- onloadstart 请求发出
- onprogress 正在发送和加载数据
- onabort 请求被中止,比如用户调用了`abort()`方法
- onerror 请求失败
- onload 请求成功完成
- ontimeout 用户指定的时限到期,请求还未完成
- onloadend 请求完成,不管成果或失败
```javascript
xhr.onload = function() {
var responseText = xhr.responseText;
console.log(responseText);
// process the response.
};
xhr.onerror = function() {
console.log('There was an error!');
};
```
注意,如果发生网络错误(比如服务器无法连通),`onerror`事件无法获取报错信息,所以只能显示报错。
### withCredentials
`withCredentials`属性是一个布尔值,表示跨域请求时,用户信息(比如Cookie和认证的HTTP头信息)是否会包含在请求之中,默认为`false`。即向`example.com`发出跨域请求时,不会发送`example.com`设置在本机上的Cookie(如果有的话)。
如果你需要通过跨域AJAX发送Cookie,需要打开`withCredentials`。
```javascript
xhr.withCredentials = true;
```
为了让这个属性生效,服务器必须显式返回`Access-Control-Allow-Credentials`这个头信息。
```javascript
Access-Control-Allow-Credentials: true
```
`.withCredentials`属性打开的话,不仅会发送Cookie,还会设置远程主机指定的Cookie。注意,此时你的脚本还是遵守同源政策,无法 从`document.cookie`或者HTTP回应的头信息之中,读取这些Cookie。
## XMLHttpRequest实例的方法
### abort()
`abort`方法用来终止已经发出的HTTP请求。
```javascript
ajax.open('GET', 'http://www.example.com/page.php', true);
var ajaxAbortTimer = setTimeout(function() {
if (ajax) {
ajax.abort();
ajax = null;
}
}, 5000);
```
上面代码在发出5秒之后,终止一个AJAX请求。
### getAllResponseHeaders()
`getAllResponseHeaders`方法返回服务器发来的所有HTTP头信息。格式为字符串,每个头信息之间使用`CRLF`分隔,如果没有受到服务器回应,该属性返回`null`。
### getResponseHeader()
`getResponseHeader`方法返回HTTP头信息指定字段的值,如果还没有收到服务器回应或者指定字段不存在,则该属性为`null`。
```html
function getHeaderTime () {
console.log(this.getResponseHeader("Last-Modified"));
}
var oReq = new XMLHttpRequest();
oReq.open("HEAD", "yourpage.html");
oReq.onload = getHeaderTime;
oReq.send();
```
如果有多个字段同名,则它们的值会被连接为一个字符串,每个字段之间使用”逗号+空格“分隔。
### open()
`XMLHttpRequest`对象的`open`方法用于指定发送HTTP请求的参数,它的使用格式如下,一共可以接受五个参数。
```javascript
void open(
string method,
string url,
optional boolean async,
optional string user,
optional string password
);
```
- `method`:表示HTTP动词,比如“GET”、“POST”、“PUT”和“DELETE”。
- `url`: 表示请求发送的网址。
- `async`: 格式为布尔值,默认为`true`,表示请求是否为异步。如果设为`false`,则`send()`方法只有等到收到服务器返回的结果,才会有返回值。
- `user`:表示用于认证的用户名,默认为空字符串。
- `password`:表示用于认证的密码,默认为空字符串。
如果对使用过`open()`方法的请求,再次使用这个方法,等同于调用`abort()`。
下面发送POST请求的例子。
```javascript
xhr.open('POST', encodeURI('someURL'));
xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
xhr.onload = function() {};
xhr.send(encodeURI('dataString'));
```
上面方法中,open方法向指定URL发出POST请求,send方法送出实际的数据。
下面是一个同步AJAX请求的例子。
```javascript
var request = new XMLHttpRequest();
request.open('GET', '/bar/foo.txt', false);
request.send(null);
if (request.status === 200) {
console.log(request.responseText);
}
```
### send()
`send`方法用于实际发出HTTP请求。如果不带参数,就表示HTTP请求只包含头信息,也就是只有一个URL,典型例子就是GET请求;如果带有参数,就表示除了头信息,还带有包含具体数据的信息体,典型例子就是POST请求。
```javascript
ajax.open('GET'
, 'http://www.example.com/somepage.php?id=' + encodeURIComponent(id)
, true
);
// 等同于
var data = 'id=' + encodeURIComponent(id));
ajax.open('GET', 'http://www.example.com/somepage.php', true);
ajax.send(data);
```
上面代码中,`GET`请求的参数,可以作为查询字符串附加在URL后面,也可以作为`send`方法的参数。
下面是发送POST请求的例子。
```javascript
var data = 'email='
+ encodeURIComponent(email)
+ '&password='
+ encodeURIComponent(password);
ajax.open('POST', 'http://www.example.com/somepage.php', true);
ajax.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
ajax.send(data);
```
如果请求是异步的(默认为异步),该方法在发出请求后会立即返回。如果请求为同步,该方法只有等到收到服务器回应后,才会返回。
注意,所有XMLHttpRequest的监听事件,都必须在`send()`方法调用之前设定。
`send`方法的参数就是发送的数据。多种格式的数据,都可以作为它的参数。
```javascript
void send();
void send(ArrayBufferView data);
void send(Blob data);
void send(Document data);
void send(String data);
void send(FormData data);
```
如果发送`Document`数据,在发送之前,数据会先被串行化。
发送二进制数据,最好使用`ArrayBufferView`或`Blob`对象,这使得通过Ajax上传文件成为可能。
下面是一个上传`ArrayBuffer`对象的例子。
```javascript
function sendArrayBuffer() {
var xhr = new XMLHttpRequest();
var uInt8Array = new Uint8Array([1, 2, 3]);
xhr.open('POST', '/server', true);
xhr.onload = function(e) { ... };
xhr.send(uInt8Array.buffer);
}
```
FormData类型可以用于构造表单数据。
```javascript
var formData = new FormData();
formData.append('username', '张三');
formData.append('email', 'zhangsan@example.com');
formData.append('birthDate', 1940);
var xhr = new XMLHttpRequest();
xhr.open("POST", "/register");
xhr.send(formData);
```
上面的代码构造了一个`formData`对象,然后使用send方法发送。它的效果与点击下面表单的submit按钮是一样的。
```html
<form id='registration' name='registration' action='/register'>
<input type='text' name='username' value='张三'>
<input type='email' name='email' value='zhangsan@example.com'>
<input type='number' name='birthDate' value='1940'>
<input type='submit' onclick='return sendForm(this.form);'>
</form>
```
FormData也可以将现有表单构造生成。
```javascript
var formElement = document.querySelector("form");
var request = new XMLHttpRequest();
request.open("POST", "submitform.php");
request.send(new FormData(formElement));
```
FormData对象还可以对现有表单添加数据,这为我们操作表单提供了极大的灵活性。
```javascript
function sendForm(form) {
var formData = new FormData(form);
formData.append('csrf', 'e69a18d7db1286040586e6da1950128c');
var xhr = new XMLHttpRequest();
xhr.open('POST', form.action, true);
xhr.onload = function(e) {
// ...
};
xhr.send(formData);
return false;
}
var form = document.querySelector('#registration');
sendForm(form);
```
FormData对象也能用来模拟File控件,进行文件上传。
```javascript
function uploadFiles(url, files) {
var formData = new FormData();
for (var i = 0, file; file = files[i]; ++i) {
formData.append(file.name, file); // 可加入第三个参数,表示文件名
}
var xhr = new XMLHttpRequest();
xhr.open('POST', url, true);
xhr.onload = function(e) { ... };
xhr.send(formData); // multipart/form-data
}
document.querySelector('input[type="file"]').addEventListener('change', function(e) {
uploadFiles('/server', this.files);
}, false);
```
FormData也可以加入JavaScript生成的文件。
```javascript
// 添加JavaScript生成的文件
var content = '<a id="a"><b id="b">hey!</b></a>';
var blob = new Blob([content], { type: "text/xml"});
formData.append("webmasterfile", blob);
```
### setRequestHeader()
`setRequestHeader`方法用于设置HTTP头信息。该方法必须在`open()`之后、`send()`之前调用。如果该方法多次调用,设定同一个字段,则每一次调用的值会被合并成一个单一的值发送。
```javascript
xhr.setRequestHeader('Content-Type', 'application/json');
xhr.setRequestHeader('Content-Length', JSON.stringify(data).length);
xhr.send(JSON.stringify(data));
```
上面代码首先设置头信息`Content-Type`,表示发送JSON格式的数据;然后设置`Content-Length`,表示数据长度;最后发送JSON数据。
### overrideMimeType()
该方法用来指定服务器返回数据的MIME类型。该方法必须在`send()`之前调用。
传统上,如果希望从服务器取回二进制数据,就要使用这个方法,人为将数据类型伪装成文本数据。
```javascript
var xhr = new XMLHttpRequest();
xhr.open('GET', '/path/to/image.png', true);
// 强制将MIME改为文本类型
xhr.overrideMimeType('text/plain; charset=x-user-defined');
xhr.onreadystatechange = function(e) {
if (this.readyState == 4 && this.status == 200) {
var binStr = this.responseText;
for (var i = 0, len = binStr.length; i < len; ++i) {
var c = binStr.charCodeAt(i);
var byte = c & 0xff; // 去除高位字节,留下低位字节
}
}
};
xhr.send();
```
上面代码中,因为传回来的是二进制数据,首先用`xhr.overrideMimeType`方法强制改变它的MIME类型,伪装成文本数据。字符集必需指定为“x-user-defined”,如果是其他字符集,浏览器内部会强制转码,将其保存成UTF-16的形式。字符集“x-user-defined”其实也会发生转码,浏览器会在每个字节前面再加上一个字节(0xF700-0xF7ff),因此后面要对每个字符进行一次与运算(&),将高位的8个位去除,只留下低位的8个位,由此逐一读出原文件二进制数据的每个字节。
这种方法很麻烦,在XMLHttpRequest版本升级以后,一般采用指定`responseType`的方法。
```javascript
var xhr = new XMLHttpRequest();
xhr.onload = function(e) {
var arraybuffer = xhr.response;
// ...
}
xhr.open("GET", url);
xhr.responseType = "arraybuffer";
xhr.send();
```
## XMLHttpRequest实例的事件
### readyStateChange事件
`readyState`属性的值发生改变,就会触发readyStateChange事件。
我们可以通过`onReadyStateChange`属性,指定这个事件的回调函数,对不同状态进行不同处理。尤其是当状态变为4的时候,表示通信成功,这时回调函数就可以处理服务器传送回来的数据。
### progress事件
上传文件时,XMLHTTPRequest对象的upload属性有一个progress,会不断返回上传的进度。
假定网页上有一个progress元素。
```http
<progress min="0" max="100" value="0">0% complete</progress>
```
文件上传时,对upload属性指定progress事件回调函数,即可获得上传的进度。
```javascript
function upload(blobOrFile) {
var xhr = new XMLHttpRequest();
xhr.open('POST', '/server', true);
xhr.onload = function(e) { ... };
// Listen to the upload progress.
var progressBar = document.querySelector('progress');
xhr.upload.onprogress = function(e) {
if (e.lengthComputable) {
progressBar.value = (e.loaded / e.total) * 100;
progressBar.textContent = progressBar.value; // Fallback for unsupported browsers.
}
};
xhr.send(blobOrFile);
}
upload(new Blob(['hello world'], {type: 'text/plain'}));
```
### load事件、error事件、abort事件
load事件表示服务器传来的数据接收完毕,error事件表示请求出错,abort事件表示请求被中断。
```javascript
var xhr = new XMLHttpRequest();
xhr.addEventListener("progress", updateProgress);
xhr.addEventListener("load", transferComplete);
xhr.addEventListener("error", transferFailed);
xhr.addEventListener("abort", transferCanceled);
xhr.open();
function updateProgress (oEvent) {
if (oEvent.lengthComputable) {
var percentComplete = oEvent.loaded / oEvent.total;
// ...
} else {
// 回应的总数据量未知,导致无法计算百分比
}
}
function transferComplete(evt) {
console.log("The transfer is complete.");
}
function transferFailed(evt) {
console.log("An error occurred while transferring the file.");
}
function transferCanceled(evt) {
console.log("The transfer has been canceled by the user.");
}
```
### loadend事件
`abort`、`load`和`error`这三个事件,会伴随一个`loadend`事件,表示请求结束,但不知道其是否成功。
```javascript
req.addEventListener("loadend", loadEnd);
function loadEnd(e) {
alert("请求结束(不知道是否成功)");
}
```
## 文件上传
HTML网页的`<form>`元素能够以四种格式,向服务器发送数据。
- 使用`POST`方法,将`enctype`属性设为`application/x-www-form-urlencoded`,这是默认方法。
```html
<form action="register.php" method="post" onsubmit="AJAXSubmit(this); return false;">
</form>
```
- 使用`POST`方法,将`enctype`属性设为`text/plain`。
```html
<form action="register.php" method="post" enctype="text/plain" onsubmit="AJAXSubmit(this); return false;">
</form>
```
- 使用`POST`方法,将`enctype`属性设为`multipart/form-data`。
```html
<form action="register.php" method="post" enctype="multipart/form-data" onsubmit="AJAXSubmit(this); return false;">
</form>
```
- 使用`GET`方法,`enctype`属性将被忽略。
```html
<form action="register.php" method="get" onsubmit="AJAXSubmit(this); return false;">
</form>
```
某个表单有两个字段,分别是`foo`和`baz`,其中`foo`字段的值等于`bar`,`baz`字段的值一个分为两行的字符串。上面四种方法,都可以将这个表单发送到服务器。
第一种方法是默认方法,POST发送,Encoding type为application/x-www-form-urlencoded。
```http
Content-Type: application/x-www-form-urlencoded
foo=bar&baz=The+first+line.%0D%0AThe+second+line.%0D%0A
```
第二种方法是POST发送,Encoding type为text/plain。
```javascript
Content-Type: text/plain
foo=bar
baz=The first line.
The second line.
```
第三种方法是POST发送,Encoding type为multipart/form-data。
```http
Content-Type: multipart/form-data; boundary=---------------------------314911788813839
-----------------------------314911788813839
Content-Disposition: form-data; name="foo"
bar
-----------------------------314911788813839
Content-Disposition: form-data; name="baz"
The first line.
The second line.
-----------------------------314911788813839--
```
第四种方法是GET请求。
```http
?foo=bar&baz=The%20first%20line.%0AThe%20second%20line.
```
通常,我们使用file控件实现文件上传。
```html
<form id="file-form" action="handler.php" method="POST">
<input type="file" id="file-select" name="photos[]" multiple/>
<button type="submit" id="upload-button">上传</button>
</form>
```
上面HTML代码中,file控件的multiple属性,指定可以一次选择多个文件;如果没有这个属性,则一次只能选择一个文件。
file对象的files属性,返回一个FileList对象,包含了用户选中的文件。
```javascript
var fileSelect = document.getElementById('file-select');
var files = fileSelect.files;
```
然后,新建一个FormData对象的实例,用来模拟发送到服务器的表单数据,把选中的文件添加到这个对象上面。
```javascript
var formData = new FormData();
for (var i = 0; i < files.length; i++) {
var file = files[i];
if (!file.type.match('image.*')) {
continue;
}
formData.append('photos[]', file, file.name);
}
```
上面代码中的FormData对象的append方法,除了可以添加文件,还可以添加二进制对象(Blob)或者字符串。
```javascript
// Files
formData.append(name, file, filename);
// Blobs
formData.append(name, blob, filename);
// Strings
formData.append(name, value);
```
append方法的第一个参数是表单的控件名,第二个参数是实际的值,第三个参数是可选的,通常是文件名。
最后,使用Ajax方法向服务器上传文件。
```javascript
var xhr = new XMLHttpRequest();
xhr.open('POST', 'handler.php', true);
xhr.onload = function () {
if (xhr.status !== 200) {
alert('An error occurred!');
}
};
xhr.send(formData);
```
目前,各大浏览器(包括IE 10)都支持Ajax上传文件。
除了使用FormData接口上传,也可以直接使用File API上传。
```javascript
var file = document.getElementById('test-input').files[0];
var xhr = new XMLHttpRequest();
xhr.open('POST', 'myserver/uploads');
xhr.setRequestHeader('Content-Type', file.type);
xhr.send(file);
```
可以看到,上面这种写法比FormData的写法,要简单很多。
## Fetch API
### 基本用法
Ajax操作所用的XMLHttpRequest对象,已经有十多年的历史,它的API设计并不是很好,输入、输出、状态都在同一个接口管理,容易写出非常混乱的代码。Fetch API是一种新规范,用来取代XMLHttpRequest对象。它主要有两个特点,一是简化接口,将API分散在几个不同的对象上,二是返回Promise对象,避免了嵌套的回调函数。
检查浏览器是否部署了这个API的代码如下。
```javascript
if (fetch in window){
// 支持
} else {
// 不支持
}
```
下面是一个Fetch API的简单例子。
```javascript
var URL = 'http://some/path';
fetch(URL).then(function(response) {
return response.json();
}).then(function(json) {
someOperator(json);
});
```
上面代码向服务器请求JSON文件,获取后再做进一步处理。
下面比较XMLHttpRequest写法与Fetch写法的不同。
```javascript
function reqListener() {
var data = JSON.parse(this.responseText);
console.log(data);
}
function reqError(err) {
console.log('Fetch Error :-S', err);
}
var oReq = new XMLHttpRequest();
oReq.onload = reqListener;
oReq.onerror = reqError;
oReq.open('get', './api/some.json', true);
oReq.send();
```
同样的操作用Fetch实现如下。
```javascript
fetch('./api/some.json')
.then(function(response) {
if (response.status !== 200) {
console.log('请求失败,状态码:' + response.status);
return;
}
response.json().then(function(data) {
console.log(data);
});
}).catch(function(err) {
console.log('出错:', err);
});
```
上面代码中,因为HTTP请求返回的response对象是一个Stream对象,所以需要使用`response.json`方法转为JSON格式,不过这个方法返回的是一个Promise对象。
### fetch()
fetch方法的第一个参数可以是URL字符串,也可以是后文要讲到的Request对象实例。Fetch方法返回一个Promise对象,并将一个response对象传给回调函数。
response对象还有一个ok属性,如果返回的状态码在200到299之间(即请求成功),这个属性为true,否则为false。因此,上面的代码可以写成下面这样。
```javascript
fetch("./api/some.json").then(function(response) {
if (response.ok) {
response.json().then(function(data) {
console.log(data);
});
} else {
console.log("请求失败,状态码为", response.status);
}
}, function(err) {
console.log("出错:", err);
});
```
response对象除了json方法,还包含了HTTP回应的元数据。
```javascript
fetch('users.json').then(function(response) {
console.log(response.headers.get('Content-Type'));
console.log(response.headers.get('Date'));
console.log(response.status);
console.log(response.statusText);
console.log(response.type);
console.log(response.url);
});
```
上面代码中,response对象有很多属性,其中的`response.type`属性比较特别,表示HTTP回应的类型,它有以下三个值。
- basic:正常的同域请求
- cors:CORS机制下的跨域请求
- opaque:非CORS机制下的跨域请求,这时无法读取返回的数据,也无法判断是否请求成功
如果需要在CORS机制下发出跨域请求,需要指明状态。
```javascript
fetch('http://some-site.com/cors-enabled/some.json', {mode: 'cors'})
.then(function(response) {
return response.text();
})
.then(function(text) {
console.log('Request successful', text);
})
.catch(function(error) {
log('Request failed', error)
});
```
除了指定模式,fetch方法的第二个参数还可以用来配置其他值,比如指定cookie连同HTTP请求一起发出。
```javascript
fetch(url, {
credentials: 'include'
})
```
发出POST请求的写法如下。
```javascript
fetch("http://www.example.org/submit.php", {
method: "POST",
headers: {
"Content-Type": "application/x-www-form-urlencoded"
},
body: "firstName=Nikhil&favColor=blue&password=easytoguess"
}).then(function(res) {
if (res.ok) {
console.log("Perfect! Your settings are saved.");
} else if (res.status == 401) {
console.log("Oops! You are not authorized.");
}
}, function(e) {
console.log("Error submitting form!");
});
```
目前,还有一些XMLHttpRequest对象可以做到,但是Fetch API还没做到的地方,比如中途中断HTTP请求,以及获取HTTP请求的进度。这些不足与Fetch返回的是Promise对象有关。
### Headers
Fetch API引入三个新的对象(也是构造函数):Headers, Request 和 Response。其中,Headers对象用来构造/读取HTTP数据包的头信息。
```javascript
var content = "Hello World";
var reqHeaders = new Headers();
reqHeaders.append("Content-Type", "text/plain");
reqHeaders.append("Content-Length", content.length.toString());
reqHeaders.append("X-Custom-Header", "ProcessThisImmediately");
```
Headers对象的实例,除了使用append方法添加属性,也可以直接通过构造函数一次性生成。
```javascript
reqHeaders = new Headers({
"Content-Type": "text/plain",
"Content-Length": content.length.toString(),
"X-Custom-Header": "ProcessThisImmediately",
});
```
Headers对象实例还提供了一些工具方法。
```javascript
reqHeaders.has("Content-Type") // true
reqHeaders.has("Set-Cookie") // false
reqHeaders.set("Content-Type", "text/html")
reqHeaders.append("X-Custom-Header", "AnotherValue")
reqHeaders.get("Content-Length") // 11
reqHeaders.getAll("X-Custom-Header") // ["ProcessThisImmediately", "AnotherValue"]
reqHeaders.delete("X-Custom-Header")
reqHeaders.getAll("X-Custom-Header") // []
```
生成Header实例以后,可以将它作为第二个参数,传入Request方法。
```javascript
var headers = new Headers();
headers.append('Accept', 'application/json');
var request = new Request(URL, {headers: headers});
fetch(request).then(function(response) {
console.log(response.headers);
});
```
同样地,Headers实例可以用来构造Response方法。
```javascript
var headers = new Headers({
'Content-Type': 'application/json',
'Cache-Control': 'max-age=3600'
});
var response = new Response(
JSON.stringify({photos: {photo: []}}),
{'status': 200, headers: headers}
);
response.json().then(function(json) {
insertPhotos(json);
});
```
上面代码中,构造了一个HTTP回应。目前,浏览器构造HTTP回应没有太大用处,但是随着Service Worker的部署,不久浏览器就可以向Service Worker发出HTTP回应。
### Request对象
Request对象用来构造HTTP请求。
```javascript
var req = new Request("/index.html");
req.method // "GET"
req.url // "http://example.com/index.html"
```
Request对象的第二个参数,表示配置对象。
```javascript
var uploadReq = new Request("/uploadImage", {
method: "POST",
headers: {
"Content-Type": "image/png",
},
body: "image data"
});
```
上面代码指定Request对象使用POST方法发出,并指定HTTP头信息和信息体。
下面是另一个例子。
```javascript
var req = new Request(URL, {method: 'GET', cache: 'reload'});
fetch(req).then(function(response) {
return response.json();
}).then(function(json) {
someOperator(json);
});
```
上面代码中,指定请求方法为GET,并且要求浏览器不得缓存response。
Request对象实例有两个属性是只读的,不能手动设置。一个是referrer属性,表示请求的来源,由浏览器设置,有可能是空字符串。另一个是context属性,表示请求发出的上下文,如果是image,表示是从img标签发出,如果是worker,表示是从worker脚本发出,如果是fetch,表示是从fetch函数发出的。
Request对象实例的mode属性,用来设置是否跨域,合法的值有以下三种:same-origin、no-cors(默认值)、cors。当设置为same-origin时,只能向同域的URL发出请求,否则会报错。
```javascript
var arbitraryUrl = document.getElementById("url-input").value;
fetch(arbitraryUrl, { mode: "same-origin" }).then(function(res) {
console.log("Response succeeded?", res.ok);
}, function(e) {
console.log("Please enter a same-origin URL!");
});
```
上面代码中,如果用户输入的URL不是同域的,将会报错,否则就会发出请求。
如果mode属性为no-cors,就与默认的浏览器行为没有不同,类似script标签加载外部脚本文件、img标签加载外部图片。如果mode属性为cors,就可以向部署了CORS机制的服务器,发出跨域请求。
```javascript
var u = new URLSearchParams();
u.append('method', 'flickr.interestingness.getList');
u.append('api_key', '<insert api key here>');
u.append('format', 'json');
u.append('nojsoncallback', '1');
var apiCall = fetch('https://api.flickr.com/services/rest?' + u);
apiCall.then(function(response) {
return response.json().then(function(json) {
// photo is a list of photos.
return json.photos.photo;
});
}).then(function(photos) {
photos.forEach(function(photo) {
console.log(photo.title);
});
});
```
上面代码是向Flickr API发出图片请求的例子。
Request对象的一个很有用的功能,是在其他Request实例的基础上,生成新的Request实例。
```javascript
var postReq = new Request(req, {method: 'POST'});
```
### Response
fetch方法返回Response对象实例,它有以下属性。
- status:整数值,表示状态码(比如200)
- statusText:字符串,表示状态信息,默认是“OK”
- ok:布尔值,表示状态码是否在200-299的范围内
- headers:Headers对象,表示HTTP回应的头信息
- url:字符串,表示HTTP请求的网址
- type:字符串,合法的值有五个basic、cors、default、error、opaque。basic表示正常的同域请求;cors表示CORS机制的跨域请求;error表示网络出错,无法取得信息,status属性为0,headers属性为空,并且导致fetch函数返回Promise对象被拒绝;opaque表示非CORS机制的跨域请求,受到严格限制。
Response对象还有两个静态方法。
- Response.error() 返回一个type属性为error的Response对象实例
- Response.redirect(url, status) 返回的Response对象实例会重定向到另一个URL
### body属性
Request对象和Response对象都有body属性,表示请求的内容。body属性可能是以下的数据类型。
- ArrayBuffer
- ArrayBufferView (Uint8Array等)
- Blob/File
- string
- URLSearchParams
- FormData
```javascript
var form = new FormData(document.getElementById('login-form'));
fetch("/login", {
method: "POST",
body: form
})
```
上面代码中,Request对象的body属性为表单数据。
Request对象和Response对象都提供以下方法,用来读取body。
- arrayBuffer()
- blob()
- json()
- text()
- formData()
注意,上面这些方法都只能使用一次,第二次使用就会报错,也就是说,body属性只能读取一次。Request对象和Response对象都有bodyUsed属性,返回一个布尔值,表示body是否被读取过。
```javascript
var res = new Response("one time use");
console.log(res.bodyUsed); // false
res.text().then(function(v) {
console.log(res.bodyUsed); // true
});
console.log(res.bodyUsed); // true
res.text().catch(function(e) {
console.log("Tried to read already consumed Response");
});
```
上面代码中,第二次通过text方法读取Response对象实例的body时,就会报错。
这是因为body属性是一个stream对象,数据只能单向传送一次。这样的设计是为了允许JavaScript处理视频、音频这样的大型文件。
如果希望多次使用body属性,可以使用Response对象和Request对象的clone方法。它必须在body还没有读取前调用,返回一个前的body,也就是说,需要使用几次body,就要调用几次clone方法。
```javascript
addEventListener('fetch', function(evt) {
var sheep = new Response("Dolly");
console.log(sheep.bodyUsed); // false
var clone = sheep.clone();
console.log(clone.bodyUsed); // false
clone.text();
console.log(sheep.bodyUsed); // false
console.log(clone.bodyUsed); // true
evt.respondWith(cache.add(sheep.clone()).then(function(e) {
return sheep;
});
});
```
<h2 id="6.9">CORS通信</h2>
CORS是一个W3C标准,全称是“跨域资源共享”(Cross-origin resource sharing)。
它允许浏览器向跨源服务器,发出[`XMLHttpRequest`](http://www.ruanyifeng.com/blog/2012/09/xmlhttprequest_level_2.html)请求,从而克服了AJAX只能[同源](http://www.ruanyifeng.com/blog/2016/04/same-origin-policy.html)使用的限制。
本文详细介绍CORS的内部机制。
## 简介
CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。
整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。
因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。
## 两种请求
浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。
只要同时满足以下两大条件,就属于简单请求。
(1)请求方法是以下三种方法之一。
> - HEAD
> - GET
> - POST
(2)HTTP的头信息不超出以下几种字段。
> - Accept
> - Accept-Language
> - Content-Language
> - Last-Event-ID
> - Content-Type:只限于三个值`application/x-www-form-urlencoded`、`multipart/form-data`、`text/plain`
凡是不同时满足上面两个条件,就属于非简单请求。
浏览器对这两种请求的处理,是不一样的。
## 简单请求
### 基本流程
对于简单请求,浏览器直接发出CORS请求。具体来说,就是在头信息之中,增加一个`Origin`字段。
下面是一个例子,浏览器发现这次跨源AJAX请求是简单请求,就自动在头信息之中,添加一个`Origin`字段。
```http
GET /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...
```
上面的头信息中,`Origin`字段用来说明,本次请求来自哪个源(协议 + 域名 + 端口)。服务器根据这个值,决定是否同意这次请求。
如果`Origin`指定的源,不在许可范围内,服务器会返回一个正常的HTTP回应。浏览器发现,这个回应的头信息没有包含`Access-Control-Allow-Origin`字段(详见下文),就知道出错了,从而抛出一个错误,被`XMLHttpRequest`的`onerror`回调函数捕获。注意,这种错误无法通过状态码识别,因为HTTP回应的状态码有可能是200。
如果`Origin`指定的域名在许可范围内,服务器返回的响应,会多出几个头信息字段。
```http
Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: FooBar
Content-Type: text/html; charset=utf-8
```
上面的头信息之中,有三个与CORS请求相关的字段,都以`Access-Control-`开头。
**(1)`Access-Control-Allow-Origin`**
该字段是必须的。它的值要么是请求时`Origin`字段的值,要么是一个`*`,表示接受任意域名的请求。
**(2)`Access-Control-Allow-Credentials`**
该字段可选。它的值是一个布尔值,表示是否允许发送Cookie。默认情况下,Cookie不包括在CORS请求之中。设为`true`,即表示服务器明确许可,Cookie可以包含在请求中,一起发给服务器。这个值也只能设为`true`,如果服务器不要浏览器发送Cookie,删除该字段即可。
**(3)`Access-Control-Expose-Headers`**
该字段可选。CORS请求时,`XMLHttpRequest`对象的`getResponseHeader()`方法只能拿到6个基本字段:`Cache-Control`、`Content-Language`、`Content-Type`、`Expires`、`Last-Modified`、`Pragma`。如果想拿到其他字段,就必须在`Access-Control-Expose-Headers`里面指定。上面的例子指定,`getResponseHeader('FooBar')`可以返回`FooBar`字段的值。
### withCredentials 属性
上面说到,CORS请求默认不包含Cookie信息(以及HTTP认证信息等)。如果需要包含Cookie信息,一方面要服务器同意,指定`Access-Control-Allow-Credentials`字段。
```http
Access-Control-Allow-Credentials: true
```
另一方面,开发者必须在AJAX请求中打开`withCredentials`属性。
```javascript
var xhr = new XMLHttpRequest();
xhr.withCredentials = true;
```
否则,即使服务器同意发送Cookie,浏览器也不会发送。或者,服务器要求设置Cookie,浏览器也不会处理。
但是,如果省略`withCredentials`设置,有的浏览器还是会一起发送Cookie。这时,可以显式关闭`withCredentials`。
```javascript
xhr.withCredentials = false;
```
需要注意的是,如果要发送Cookie,`Access-Control-Allow-Origin`就不能设为星号,必须指定明确的、与请求网页一致的域名。同时,Cookie依然遵循同源政策,只有用服务器域名设置的Cookie才会上传,其他域名的Cookie并不会上传,且(跨源)原网页代码中的`document.cookie`也无法读取服务器域名下的Cookie。
## 非简单请求
### 预检请求
非简单请求是那种对服务器有特殊要求的请求,比如请求方法是`PUT`或`DELETE`,或者`Content-Type`字段的类型是`application/json`。
非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为”预检“请求(preflight)。
浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的`XMLHttpRequest`请求,否则就报错。
下面是一段浏览器的JavaScript脚本。
```javascript
var url = 'http://api.alice.com/cors';
var xhr = new XMLHttpRequest();
xhr.open('PUT', url, true);
xhr.setRequestHeader('X-Custom-Header', 'value');
xhr.send();
```
上面代码中,HTTP请求的方法是`PUT`,并且发送一个自定义头信息`X-Custom-Header`。
浏览器发现,这是一个非简单请求,就自动发出一个”预检“请求,要求服务器确认可以这样请求。下面是这个“预检”请求的HTTP头信息。
```http
OPTIONS /cors HTTP/1.1
Origin: http://api.bob.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...
```
“预检”请求用的请求方法是`OPTIONS`,表示这个请求是用来询问的。头信息里面,关键字段是`Origin`,表示请求来自哪个源。
除了`Origin`字段,“预检”请求的头信息包括两个特殊字段。
**(1)`Access-Control-Request-Method`**
该字段是必须的,用来列出浏览器的CORS请求会用到哪些HTTP方法,上例是`PUT`。
**(2)`Access-Control-Request-Headers`**
该字段是一个逗号分隔的字符串,指定浏览器CORS请求会额外发送的头信息字段,上例是`X-Custom-Header`。
### 预检请求的回应
服务器收到“预检”请求以后,检查了`Origin`、`Access-Control-Request-Method`和`Access-Control-Request-Headers`字段以后,确认允许跨源请求,就可以做出回应。
```http
HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain
```
上面的HTTP回应中,关键的是`Access-Control-Allow-Origin`字段,表示`http://api.bob.com`可以请求数据。该字段也可以设为星号,表示同意任意跨源请求。
```http
Access-Control-Allow-Origin: *
```
如果服务器否定了”预检“请求,会返回一个正常的HTTP回应,但是没有任何CORS相关的头信息字段。这时,浏览器就会认定,服务器不同意预检请求,因此触发一个错误,被`XMLHttpRequest`对象的`onerror`回调函数捕获。控制台会打印出如下的报错信息。
```bash
XMLHttpRequest cannot load http://api.alice.com.
Origin http://api.bob.com is not allowed by Access-Control-Allow-Origin.
```
服务器回应的其他CORS相关字段如下。
```http
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Allow-Headers: true
Access-Control-Max-Age: 1728000
```
**(1)`Access-Control-Allow-Methods`**
该字段必需,它的值是逗号分隔的一个字符串,表明服务器支持的所有跨域请求的方法。注意,返回的是所有支持的方法,而不单是浏览器请求的那个方法。这是为了避免多次“预检”请求。
**(2)`Access-Control-Allow-Headers`**
如果浏览器请求包括`Access-Control-Request-Headers`字段,则`Access-Control-Allow-Headers`字段是必需的。它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段,不限于浏览器在”预检“中请求的字段。
**(3)`Access-Control-Allow-Credentials`**
该字段与简单请求时的含义相同。
**(4)`Access-Control-Max-Age`**
该字段可选,用来指定本次预检请求的有效期,单位为秒。上面结果中,有效期是20天(1728000秒),即允许缓存该条回应1728000秒(即20天),在此期间,不用发出另一条预检请求。
### 浏览器的正常请求和回应
一旦服务器通过了“预检”请求,以后每次浏览器正常的CORS请求,就都跟简单请求一样,会有一个`Origin`头信息字段。服务器的回应,也都会有一个`Access-Control-Allow-Origin`头信息字段。
下面是“预检”请求之后,浏览器的正常CORS请求。
```http
PUT /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
X-Custom-Header: value
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...
```
上面头信息的`Origin`字段是浏览器自动添加的。
下面是服务器正常的回应。
```http
Access-Control-Allow-Origin: http://api.bob.com
Content-Type: text/html; charset=utf-8
```
上面头信息中,`Access-Control-Allow-Origin`字段是每次回应都必定包含的。
## 与JSONP的比较
CORS与JSONP的使用目的相同,但是比JSONP更强大。
JSONP只支持`GET`请求,CORS支持所有类型的HTTP请求。JSONP的优势在于支持老式浏览器,以及可以向不支持CORS的网站请求数据。
<h2 id="6.10">IndexedDB:浏览器端数据库</h2>
## 概述
随着浏览器的处理能力不断增强,越来越多的网站开始考虑,将大量数据储存在客户端,这样可以减少用户等待从服务器获取数据的时间。
现有的浏览器端数据储存方案,都不适合储存大量数据:cookie不超过4KB,且每次请求都会发送回服务器端;Window.name属性缺乏安全性,且没有统一的标准;localStorage在2.5MB到10MB之间(各家浏览器不同)。所以,需要一种新的解决方案,这就是IndexedDB诞生的背景。
通俗地说,IndexedDB就是浏览器端数据库,可以被网页脚本程序创建和操作。它允许储存大量数据,提供查找接口,还能建立索引。这些都是localStorage所不具备的。就数据库类型而言,IndexedDB不属于关系型数据库(不支持SQL查询语句),更接近NoSQL数据库。
IndexedDB具有以下特点。
**(1)键值对储存。** IndexedDB内部采用对象仓库(object store)存放数据。所有类型的数据都可以直接存入,包括JavaScript对象。在对象仓库中,数据以“键值对”的形式保存,每一个数据都有对应的键名,键名是独一无二的,不能有重复,否则会抛出一个错误。
**(2)异步。** IndexedDB操作时不会锁死浏览器,用户依然可以进行其他操作,这与localStorage形成对比,后者的操作是同步的。异步设计是为了防止大量数据的读写,拖慢网页的表现。
**(3)支持事务。** IndexedDB支持事务(transaction),这意味着一系列操作步骤之中,只要有一步失败,整个事务就都取消,数据库回到事务发生之前的状态,不存在只改写一部分数据的情况。
**(4)同域限制** IndexedDB也受到同域限制,每一个数据库对应创建该数据库的域名。来自不同域名的网页,只能访问自身域名下的数据库,而不能访问其他域名下的数据库。
**(5)储存空间大** IndexedDB的储存空间比localStorage大得多,一般来说不少于250MB。IE的储存上限是250MB,Chrome和Opera是剩余空间的某个百分比,Firefox则没有上限。
**(6)支持二进制储存。** IndexedDB不仅可以储存字符串,还可以储存二进制数据。
目前,Chrome 27+、Firefox 21+、Opera 15+和IE 10+支持这个API,但是Safari完全不支持。
下面的代码用来检查浏览器是否支持这个API。
```javascript
if("indexedDB" in window) {
// 支持
} else {
// 不支持
}
```
## indexedDB.open方法
浏览器原生提供indexedDB对象,作为开发者的操作接口。indexedDB.open方法用于打开数据库。
```javascript
var openRequest = indexedDB.open("test",1);
```
open方法的第一个参数是数据库名称,格式为字符串,不可省略;第二个参数是数据库版本,是一个大于0的正整数(0将报错)。上面代码表示,打开一个名为test、版本为1的数据库。如果该数据库不存在,则会新建该数据库。如果省略第二个参数,则会自动创建版本为1的该数据库。
打开数据库的结果是,有可能触发4种事件。
- **success**:打开成功。
- **error**:打开失败。
- **upgradeneeded**:第一次打开该数据库,或者数据库版本发生变化。
- **blocked**:上一次的数据库连接还未关闭。
第一次打开数据库时,会先触发upgradeneeded事件,然后触发success事件。
根据不同的需要,对上面4种事件设立回调函数。
```javascript
var openRequest = indexedDB.open("test",1);
var db;
openRequest.onupgradeneeded = function(e) {
console.log("Upgrading...");
}
openRequest.onsuccess = function(e) {
console.log("Success!");
db = e.target.result;
}
openRequest.onerror = function(e) {
console.log("Error");
console.dir(e);
}
```
上面代码有两个地方需要注意。首先,open方法返回的是一个对象(IDBOpenDBRequest),回调函数定义在这个对象上面。其次,回调函数接受一个事件对象event作为参数,它的target.result属性就指向打开的IndexedDB数据库。
## indexedDB实例对象的方法
获得数据库实例以后,就可以用实例对象的方法操作数据库。
### createObjectStore方法
createObjectStore方法用于创建存放数据的“对象仓库”(object store),类似于传统关系型数据库的表格。
```javascript
db.createObjectStore("firstOS");
```
上面代码创建了一个名为firstOS的对象仓库,如果该对象仓库已经存在,就会抛出一个错误。为了避免出错,需要用到下文的objectStoreNames属性,检查已有哪些对象仓库。
createObjectStore方法还可以接受第二个对象参数,用来设置“对象仓库”的属性。
```javascript
db.createObjectStore("test", { keyPath: "email" });
db.createObjectStore("test2", { autoIncrement: true });
```
上面代码中的keyPath属性表示,所存入对象的email属性用作每条记录的键名(由于键名不能重复,所以存入之前必须保证数据的email属性值都是不一样的),默认值为null;autoIncrement属性表示,是否使用自动递增的整数作为键名(第一个数据为1,第二个数据为2,以此类推),默认为false。一般来说,keyPath和autoIncrement属性只要使用一个就够了,如果两个同时使用,表示键名为递增的整数,且对象不得缺少指定属性。
### objectStoreNames属性
objectStoreNames属性返回一个DOMStringList对象,里面包含了当前数据库所有“对象仓库”的名称。可以使用DOMStringList对象的contains方法,检查数据库是否包含某个“对象仓库”。
```javascript
if(!db.objectStoreNames.contains("firstOS")) {
db.createObjectStore("firstOS");
}
```
上面代码先判断某个“对象仓库”是否存在,如果不存在就创建该对象仓库。
### transaction方法
transaction方法用于创建一个数据库事务。向数据库添加数据之前,必须先创建数据库事务。
```javascript
var t = db.transaction(["firstOS"],"readwrite");
```
transaction方法接受两个参数:第一个参数是一个数组,里面是所涉及的对象仓库,通常是只有一个;第二个参数是一个表示操作类型的字符串。目前,操作类型只有两种:readonly(只读)和readwrite(读写)。添加数据使用readwrite,读取数据使用readonly。
transaction方法返回一个事务对象,该对象的objectStore方法用于获取指定的对象仓库。
```javascript
var t = db.transaction(["firstOS"],"readwrite");
var store = t.objectStore("firstOS");
```
transaction方法有三个事件,可以用来定义回调函数。
- **abort**:事务中断。
- **complete**:事务完成。
- **error**:事务出错。
```javascript
var transaction = db.transaction(["note"], "readonly");
transaction.oncomplete = function(event) {
// some code
};
```
事务对象有以下方法,用于操作数据。
**(1)添加数据:add方法**
获取对象仓库以后,就可以用add方法往里面添加数据了。
```javascript
var store = t.objectStore("firstOS");
var o = {p: 123};
var request = store.add(o,1);
```
add方法的第一个参数是所要添加的数据,第二个参数是这条数据对应的键名(key),上面代码将对象o的键名设为1。如果在创建数据仓库时,对键名做了设置,这里也可以不指定键名。
add方法是异步的,有自己的success和error事件,可以对这两个事件指定回调函数。
```javascript
var request = store.add(o,1);
request.onerror = function(e) {
console.log("Error",e.target.error.name);
// error handler
}
request.onsuccess = function(e) {
console.log("数据添加成功!");
}
```
**(2)读取数据:get方法**
读取数据使用get方法,它的参数是数据的键名。
```javascript
var t = db.transaction(["test"], "readonly");
var store = t.objectStore("test");
var ob = store.get(x);
```
get方法也是异步的,会触发自己的success和error事件,可以对它们指定回调函数。
```javascript
var ob = store.get(x);
ob.onsuccess = function(e) {
// ...
}
```
从创建事务到读取数据,所有操作方法也可以写成下面这样链式形式。
```javascript
db.transaction(["test"], "readonly")
.objectStore("test")
.get(X)
.onsuccess = function(e){}
```
**(3)更新记录:put方法**
put方法的用法与add方法相近。
```javascript
var o = { p:456 };
var request = store.put(o, 1);
```
**(4)删除记录:delete方法**
删除记录使用delete方法。
```javascript
var t = db.transaction(["people"], "readwrite");
var request = t.objectStore("people").delete(thisId);
```
delete方法的参数是数据的键名。另外,delete也是一个异步操作,可以为它指定回调函数。
**(5)遍历数据:openCursor方法**
如果想要遍历数据,就要openCursor方法,它在当前对象仓库里面建立一个读取光标(cursor)。
```javascript
var t = db.transaction(["test"], "readonly");
var store = t.objectStore("test");
var cursor = store.openCursor();
```
openCursor方法也是异步的,有自己的success和error事件,可以对它们指定回调函数。
```javascript
cursor.onsuccess = function(e) {
var res = e.target.result;
if(res) {
console.log("Key", res.key);
console.dir("Data", res.value);
res.continue();
}
}
```
回调函数接受一个事件对象作为参数,该对象的target.result属性指向当前数据对象。当前数据对象的key和value分别返回键名和键值(即实际存入的数据)。continue方法将光标移到下一个数据对象,如果当前数据对象已经是最后一个数据了,则光标指向null。
openCursor方法还可以接受第二个参数,表示遍历方向,默认值为next,其他可能的值为prev、nextunique和prevunique。后两个值表示如果遇到重复值,会自动跳过。
### createIndex方法
createIndex方法用于创建索引。
假定对象仓库中的数据对象都是下面person类型的。
```javascript
var person = {
name:name,
email:email,
created:new Date()
}
```
可以指定这个数据对象的某个属性来建立索引。
```javascript
var store = db.createObjectStore("people", { autoIncrement:true });
store.createIndex("name","name", {unique:false});
store.createIndex("email","email", {unique:true});
```
createIndex方法接受三个参数,第一个是索引名称,第二个是建立索引的属性名,第三个是参数对象,用来设置索引特性。unique表示索引所在的属性是否有唯一值,上面代码表示name属性不是唯一值,email属性是唯一值。
### index方法
有了索引以后,就可以针对索引所在的属性读取数据。index方法用于从对象仓库返回指定的索引。
```javascript
var t = db.transaction(["people"],"readonly");
var store = t.objectStore("people");
var index = store.index("name");
var request = index.get(name);
```
上面代码打开对象仓库以后,先用index方法指定索引在name属性上面,然后用get方法读取某个name属性所在的数据。如果没有指定索引的那一行代码,get方法只能按照键名读取数据,而不能按照name属性读取数据。需要注意的是,这时get方法有可能取回多个数据对象,因为name属性没有唯一值。
另外,get是异步方法,读取成功以后,只能在success事件的回调函数中处理数据。
## IDBKeyRange对象
索引的有用之处,还在于可以指定读取数据的范围。这需要用到浏览器原生的IDBKeyRange对象。
IDBKeyRange对象的作用是生成一个表示范围的Range对象。生成方法有四种:
- **lowerBound方法**:指定范围的下限。
- **upperBound方法**:指定范围的上限。
- **bound方法**:指定范围的上下限。
- **only方法**:指定范围中只有一个值。
下面是一些代码实例:
```javascript
// All keys ≤ x
var r1 = IDBKeyRange.upperBound(x);
// All keys < x
var r2 = IDBKeyRange.upperBound(x, true);
// All keys ≥ y
var r3 = IDBKeyRange.lowerBound(y);
// All keys > y
var r4 = IDBKeyRange.lowerBound(y, true);
// All keys ≥ x && ≤ y
var r5 = IDBKeyRange.bound(x, y);
// All keys > x &&< y
var r6 = IDBKeyRange.bound(x, y, true, true);
// All keys > x && ≤ y
var r7 = IDBKeyRange.bound(x, y, true, false);
// All keys ≥ x &&< y
var r8 = IDBKeyRange.bound(x, y, false, true);
// The key = z
var r9 = IDBKeyRange.only(z);
```
前三个方法(lowerBound、upperBound和bound)默认包括端点值,可以传入一个布尔值,修改这个属性。
生成Range对象以后,将它作为参数输入openCursor方法,就可以在所设定的范围内读取数据。
```javascript
var t = db.transaction(["people"],"readonly");
var store = t.objectStore("people");
var index = store.index("name");
var range = IDBKeyRange.bound('B', 'D');
index.openCursor(range).onsuccess = function(e) {
var cursor = e.target.result;
if(cursor) {
console.log(cursor.key + ":");
for(var field in cursor.value) {
console.log(cursor.value[field]);
}
cursor.continue();
}
}
```
<h2 id="6.11">Web Notifications API</h2>
## 概述
Notification API是浏览器的通知接口,用于在用户的桌面(而不是网页上)显示通知信息,桌面电脑和手机都适用,比如通知用户收到了一封Email。具体的实现形式由浏览器自行部署,对于手机来说,一般显示在顶部的通知栏。
如果网页代码调用这个API,浏览器会询问用户是否接受。只有在用户同意的情况下,通知信息才会显示。
下面的代码用于检查浏览器是否支持这个API。
```javascript
if (window.Notification) {
// 支持
} else {
// 不支持
}
```
目前,Chrome和Firefox在桌面端部署了这个API,Firefox和Blackberry在手机端部署了这个API。
```javascript
if(window.Notification && Notification.permission !== "denied") {
Notification.requestPermission(function(status) {
var n = new Notification('通知标题', { body: '这里是通知内容!' });
});
}
```
上面代码检查当前浏览器是否支持Notification对象,并且当前用户准许使用该对象,然后调用Notification.requestPermission方法,向用户弹出一条通知。
## Notification对象的属性和方法
### Notification.permission
Notification.permission属性,用于读取用户给予的权限,它是一个只读属性,它有三种状态。
- default:用户还没有做出任何许可,因此不会弹出通知。
- granted:用户明确同意接收通知。
- denied:用户明确拒绝接收通知。
### Notification.requestPermission()
Notification.requestPermission方法用于让用户做出选择,到底是否接收通知。它的参数是一个回调函数,该函数可以接收用户授权状态作为参数。
```javascript
Notification.requestPermission(function (status) {
if (status === "granted") {
var n = new Notification("Hi!");
} else {
alert("Hi!");
}
});
```
上面代码表示,如果用户拒绝接收通知,可以用alert方法代替。
## Notification实例对象
### Notification构造函数
Notification对象作为构造函数使用时,用来生成一条通知。
```javascript
var notification = new Notification(title, options);
```
Notification构造函数的title属性是必须的,用来指定通知的标题,格式为字符串。options属性是可选的,格式为一个对象,用来设定各种设置。该对象的属性如下:
- dir:文字方向,可能的值为auto、ltr(从左到右)和rtl(从右到左),一般是继承浏览器的设置。
- lang:使用的语种,比如en-US、zh-CN。
- body:通知内容,格式为字符串,用来进一步说明通知的目的。。
- tag:通知的ID,格式为字符串。一组相同tag的通知,不会同时显示,只会在用户关闭前一个通知后,在原位置显示。
- icon:图表的URL,用来显示在通知上。
上面这些属性,都是可读写的。
下面是一个生成Notification实例对象的例子。
```javascript
var notification = new Notification('收到新邮件', {
body: '您总共有3封未读邮件。'
});
notification.title // "收到新邮件"
notification.body // "您总共有3封未读邮件。"
```
### 实例对象的事件
Notification实例会触发以下事件。
- show:通知显示给用户时触发。
- click:用户点击通知时触发。
- close:用户关闭通知时触发。
- error:通知出错时触发(大多数发生在通知无法正确显示时)。
这些事件有对应的onshow、onclick、onclose、onerror方法,用来指定相应的回调函数。addEventListener方法也可以用来为这些事件指定回调函数。
```javascript
notification.onshow = function() {
console.log('Notification shown');
};
```
### close方法
Notification实例的close方法用于关闭通知。
```javascript
var n = new Notification("Hi!");
// 手动关闭
n.close();
// 自动关闭
n.onshow = function () {
setTimeout(n.close.bind(n), 5000);
}
```
上面代码说明,并不能从通知的close事件,判断它是否为用户手动关闭。
<h2 id="6.12">Performance API</h2>
Performance API用于精确度量、控制、增强浏览器的性能表现。这个API为测量网站性能,提供以前没有办法做到的精度。
比如,为了得到脚本运行的准确耗时,需要一个高精度时间戳。传统的做法是使用Date对象的getTime方法。
```javascript
var start = new Date().getTime();
// do something here
var now = new Date().getTime();
var latency = now - start;
console.log("任务运行时间:" + latency);
```
上面这种做法有两个不足之处。首先,getTime方法(以及Date对象的其他方法)都只能精确到毫秒级别(一秒的千分之一),想要得到更小的时间差别就无能为力了;其次,这种写法只能获取代码运行过程中的时间进度,无法知道一些后台事件的时间进度,比如浏览器用了多少时间从服务器加载网页。
为了解决这两个不足之处,ECMAScript 5引入“高精度时间戳”这个API,部署在performance对象上。它的精度可以达到1毫秒的千分之一(1秒的百万分之一),这对于衡量的程序的细微差别,提高程序运行速度很有好处,而且还可以获取后台事件的时间进度。
目前,所有主要浏览器都已经支持performance对象,包括Chrome 20+、Firefox 15+、IE 10+、Opera 15+。
## performance.timing对象
performance对象的timing属性指向一个对象,它包含了各种与浏览器性能有关的时间数据,提供浏览器处理网页各个阶段的耗时。比如,performance.timing.navigationStart就是浏览器处理当前网页的启动时间。
```javascript
Date.now() - performance.timing.navigationStart
// 13260687
```
上面代码表示距离浏览器开始处理当前网页,已经过了13260687毫秒。
下面是另一个例子。
```javascript
var t = performance.timing;
var pageloadtime = t.loadEventStart - t.navigationStart;
var dns = t.domainLookupEnd - t.domainLookupStart;
var tcp = t.connectEnd - t.connectStart;
var ttfb = t.responseStart - t.navigationStart;
```
上面代码依次得到页面加载的耗时、域名解析的耗时、TCP连接的耗时、读取页面第一个字节之前的耗时。
performance.timing对象包含以下属性(全部为只读):
- **navigationStart**:当前浏览器窗口的前一个网页关闭,发生unload事件时的Unix毫秒时间戳。如果没有前一个网页,则等于fetchStart属性。
- **unloadEventStart**:如果前一个网页与当前网页属于同一个域名,则返回前一个网页的unload事件发生时的Unix毫秒时间戳。如果没有前一个网页,或者之前的网页跳转不是在同一个域名内,则返回值为0。
- **unloadEventEnd**:如果前一个网页与当前网页属于同一个域名,则返回前一个网页unload事件的回调函数结束时的Unix毫秒时间戳。如果没有前一个网页,或者之前的网页跳转不是在同一个域名内,则返回值为0。
- **redirectStart**:返回第一个HTTP跳转开始时的Unix毫秒时间戳。如果没有跳转,或者不是同一个域名内部的跳转,则返回值为0。
- **redirectEnd**:返回最后一个HTTP跳转结束时(即跳转回应的最后一个字节接受完成时)的Unix毫秒时间戳。如果没有跳转,或者不是同一个域名内部的跳转,则返回值为0。
- **fetchStart**:返回浏览器准备使用HTTP请求读取文档时的Unix毫秒时间戳。该事件在网页查询本地缓存之前发生。
- **domainLookupStart**:返回域名查询开始时的Unix毫秒时间戳。如果使用持久连接,或者信息是从本地缓存获取的,则返回值等同于fetchStart属性的值。
- **domainLookupEnd**:返回域名查询结束时的Unix毫秒时间戳。如果使用持久连接,或者信息是从本地缓存获取的,则返回值等同于fetchStart属性的值。
- **connectStart**:返回HTTP请求开始向服务器发送时的Unix毫秒时间戳。如果使用持久连接(persistent connection),则返回值等同于fetchStart属性的值。
- **connectEnd**:返回浏览器与服务器之间的连接建立时的Unix毫秒时间戳。如果建立的是持久连接,则返回值等同于fetchStart属性的值。连接建立指的是所有握手和认证过程全部结束。
- **secureConnectionStart**:返回浏览器与服务器开始安全链接的握手时的Unix毫秒时间戳。如果当前网页不要求安全连接,则返回0。
- **requestStart**:返回浏览器向服务器发出HTTP请求时(或开始读取本地缓存时)的Unix毫秒时间戳。
- **responseStart**:返回浏览器从服务器收到(或从本地缓存读取)第一个字节时的Unix毫秒时间戳。
- **responseEnd**:返回浏览器从服务器收到(或从本地缓存读取)最后一个字节时(如果在此之前HTTP连接已经关闭,则返回关闭时)的Unix毫秒时间戳。
- **domLoading**:返回当前网页DOM结构开始解析时(即Document.readyState属性变为“loading”、相应的readystatechange事件触发时)的Unix毫秒时间戳。
- **domInteractive**:返回当前网页DOM结构结束解析、开始加载内嵌资源时(即Document.readyState属性变为“interactive”、相应的readystatechange事件触发时)的Unix毫秒时间戳。
- **domContentLoadedEventStart**:返回当前网页DOMContentLoaded事件发生时(即DOM结构解析完毕、所有脚本开始运行时)的Unix毫秒时间戳。
- **domContentLoadedEventEnd**:返回当前网页所有需要执行的脚本执行完成时的Unix毫秒时间戳。
- **domComplete**:返回当前网页DOM结构生成时(即Document.readyState属性变为“complete”,以及相应的readystatechange事件发生时)的Unix毫秒时间戳。
- **loadEventStart**:返回当前网页load事件的回调函数开始时的Unix毫秒时间戳。如果该事件还没有发生,返回0。
- **loadEventEnd**:返回当前网页load事件的回调函数运行结束时的Unix毫秒时间戳。如果该事件还没有发生,返回0。
根据上面这些属性,可以计算出网页加载各个阶段的耗时。比如,网页加载整个过程的耗时的计算方法如下:
```javascript
var t = performance.timing;
var pageLoadTime = t.loadEventEnd - t.navigationStart;
```
## performance.now()
performance.now方法返回当前网页自从performance.timing.navigationStart到当前时间之间的微秒数(毫秒的千分之一)。也就是说,它的精度可以达到100万分之一秒。
```javascript
performance.now()
// 23493457.476999998
Date.now() - (performance.timing.navigationStart + performance.now())
// -0.64306640625
```
上面代码表示,performance.timing.navigationStart加上performance.now(),近似等于Date.now(),也就是说,Date.now()可以替代performance.now()。但是,前者返回的是毫秒,后者返回的是微秒,所以后者的精度比前者高1000倍。
通过两次调用performance.now方法,可以得到间隔的准确时间,用来衡量某种操作的耗时。
```javascript
var start = performance.now();
doTasks();
var end = performance.now();
console.log('耗时:' + (end - start) + '微秒。');
```
## performance.mark()
mark方法用于为相应的视点做标记。
```javascript
window.performance.mark('mark_fully_loaded');
```
clearMarks方法用于清除标记,如果不加参数,就表示清除所有标记。
```javascript
window.peformance.clearMarks('mark_fully_loaded');
window.performance.clearMarks();
```
## performance.getEntries()
浏览器获取网页时,会对网页中每一个对象(脚本文件、样式表、图片文件等等)发出一个HTTP请求。performance.getEntries方法以数组形式,返回这些请求的时间统计信息,有多少个请求,返回数组就会有多少个成员。
由于该方法与浏览器处理网页的过程相关,所以只能在浏览器中使用。
```javascript
window.performance.getEntries()[0]
// PerformanceResourceTiming {
// responseEnd: 4121.6200000017125,
// responseStart: 4120.0690000005125,
// requestStart: 3315.355000002455,
// ...
// }
```
上面代码返回第一个HTTP请求(即网页的HTML源码)的时间统计信息。该信息以一个高精度时间戳的对象形式返回,每个属性的单位是微秒(microsecond),即百万分之一秒。
## performance.navigation对象
除了时间信息,performance还可以提供一些用户行为信息,主要都存放在performance.navigation对象上面。
它有两个属性:
**(1)performance.navigation.type**
该属性返回一个整数值,表示网页的加载来源,可能有以下4种情况:
- **0**:网页通过点击链接、地址栏输入、表单提交、脚本操作等方式加载,相当于常数performance.navigation.TYPE_NAVIGATENEXT。
- **1**:网页通过“重新加载”按钮或者location.reload()方法加载,相当于常数performance.navigation.TYPE_RELOAD。
- **2**:网页通过“前进”或“后退”按钮加载,相当于常数performance.navigation.TYPE_BACK_FORWARD。
- **255**:任何其他来源的加载,相当于常数performance.navigation.TYPE_UNDEFINED。
**(2)performance.navigation.redirectCount**
该属性表示当前网页经过了多少次重定向跳转。
<h2 id="6.13">移动设备API</h2>
为了更好地为移动设备服务,HTML 5推出了一系列针对移动设备的API。
## Viewport
Viewport指的是网页的显示区域,也就是不借助滚动条的情况下,用户可以看到的部分网页大小,中文译为“视口”。正常情况下,viewport和浏览器的显示窗口是一样大小的。但是,在移动设备上,两者可能不是一样大小。
比如,手机浏览器的窗口宽度可能是640像素,这时viewport宽度就是640像素,但是网页宽度有950像素,正常情况下,浏览器会提供横向滚动条,让用户查看窗口容纳不下的310个像素。另一种方法则是,将viewport设成950像素,也就是说,浏览器的显示宽度还是640像素,但是网页的显示区域达到950像素,整个网页缩小了,在浏览器中可以看清楚全貌。这样一来,手机浏览器就可以看到网页在桌面浏览器上的显示效果。
viewport缩放规则,需要在HTML网页的head部分指定。
```html
<head>
<meta name="viewport" content="width=device-width, initial-scale=1.0, user-scalable=no"/>
</head>
```
上面代码指定,viewport的缩放规则是,缩放到当前设备的屏幕宽度(device-width),初始缩放比例(initial-scale)为1倍,禁止用户缩放(user-scalable)。
viewport 全部属性如下。
- width: viewport宽度
- height: viewport高度
- initial-scale: 初始缩放比例
- maximum-scale: 最大缩放比例
- minimum-scale: 最小缩放比例
- user-scalable: 是否允许用户缩放
其他的例子如下。
```html
<meta name = "viewport" content = "width = 320,
initial-scale = 2.3, user-scalable = no">
```
## Geolocation API
Geolocation接口用于获取用户的地理位置。它使用的方法基于GPS或者其他机制(比如IP地址、Wifi热点、手机基站等)。
下面的方法,可以检查浏览器是否支持这个接口。
```javascript
if(navigator.geolocation) {
// 支持
} else {
// 不支持
}
```
这个API的支持情况非常好,所有浏览器都支持(包括IE 9+),所以上面的代码不是很必要。
### getCurrentPosition方法
getCurrentPosition方法,用来获取用户的地理位置。使用它需要得到用户的授权,浏览器会跳出一个对话框,询问用户是否许可当前页面获取他的地理位置。必须考虑两种情况的回调函数:一种是同意授权,另一种是拒绝授权。如果用户拒绝授权,会抛出一个错误。
```javascript
navigator.geolocation.getCurrentPosition(geoSuccess,geoError);
```
上面代码指定了处理当前地理位置的两个回调函数。
**(1)同意授权**
如果用户同意授权,就会调用geoSuccess。
```javascript
function geoSuccess(event) {
console.log(event.coords.latitude + ', ' + event.coords.longitude);
}
```
geoSuccess的参数是一个event对象。event有两个属性:timestamp和coords。timestamp属性是一个时间戳,返回获得位置信息的具体时间。coords属性指向一个对象,包含了用户的位置信息,主要是以下几个值:
- **coords.latitude**:纬度
- **coords.longitude**:经度
- **coords.accuracy**:精度
- **coords.altitude**:海拔
- **coords.altitudeAccuracy**:海拔精度(单位:米)
- **coords.heading**:以360度表示的方向
- **coords.speed**:每秒的速度(单位:米)
大多数桌面浏览器不提供上面列表的后四个值。
**(2)拒绝授权**
如果用户拒绝授权,就会调用getCurrentPosition方法指定的第二个回调函数geoError。
```javascript
function geoError(event) {
console.log("Error code " + event.code + ". " + event.message);
}
```
geoError的参数也是一个event对象。event.code属性表示错误类型,有四个值:
- **0**:未知错误,浏览器没有提示出错的原因,相当于常量event.UNKNOWN_ERROR。
- **1**:用户拒绝授权,相当于常量event.PERMISSION_DENIED。
- **2**:没有得到位置,GPS或其他定位机制无法定位,相当于常量event.POSITION_UNAVAILABLE。
- **3**:超时,GPS没有在指定时间内返回结果,相当于常量event.TIMEOUT。
**(3)设置定位行为**
getCurrentPosition方法还可以接受一个对象作为第三个参数,用来设置定位行为。
```javascript
var option = {
enableHighAccuracy : true,
timeout : Infinity,
maximumAge : 0
};
navigator.geolocation.getCurrentPosition(geoSuccess, geoError, option);
```
这个参数对象有三个成员:
- **enableHighAccuracy**:如果设为true,就要求客户端提供更精确的位置信息,这会导致更长的定位时间和更大的耗电,默认设为false。
- **Timeout**:等待客户端做出回应的最大毫秒数,默认值为Infinity(无限)。
- **maximumAge**:客户端可以使用缓存数据的最大毫秒数。如果设为0,客户端不读取缓存;如果设为infinity,客户端只读取缓存。
### watchPosition方法和clearWatch方法
watchPosition方法可以用来监听用户位置的持续改变,使用方法与getCurrentPosition方法一样。
```javascript
var watchID = navigator.geolocation.watchPosition(geoSuccess,geoError, option);
```
一旦用户位置发生变化,就会调用回调函数geoSuccess。这个回调函数的事件对象,也包含timestamp和coords属性。
watchPosition和getCurrentPosition方法的不同之处在于,前者返回一个表示符,后者什么都不返回。watchPosition方法返回的标识符,用于供clearWatch方法取消监听。
```javascript
navigator.geolocation.clearWatch(watchID);
```
## Vibration API
Vibration接口用于在浏览器中发出命令,使得设备振动。显然,这个API主要针对手机,适用场合是向用户发出提示或警告,游戏中尤其会大量使用。由于振动操作很耗电,在低电量时最好取消该操作。
使用下面的代码检查该接口是否可用。目前,只有Chrome和Firefox的Android平台最新版本支持它。
```javascript
navigator.vibrate = navigator.vibrate
|| navigator.webkitVibrate
|| navigator.mozVibrate
|| navigator.msVibrate;
if (navigator.vibrate) {
// 支持
}
```
vibrate方法可以使得设备振动,它的参数就是振动持续的毫秒数。
```javascript
navigator.vibrate(1000);
```
上面的代码使得设备振动1秒钟。
vibrate方法还可以接受一个数组作为参数,表示振动的模式。偶数位置的数组成员表示振动的毫秒数,奇数位置的数组成员表示等待的毫秒数。
```javascript
navigator.vibrate([500, 300, 100]);
```
上面代码表示,设备先振动500毫秒,然后等待300毫秒,再接着振动100毫秒。
vibrate是一个非阻塞式的操作,即手机振动的同时,JavaScript代码继续向下运行。要停止振动,只有将0毫秒或者一个空数组传入vibrate方法。
```javascript
navigator.vibrate(0);
navigator.vibrate([]);
```
如果要让振动一直持续,可以使用setInterval不断调用vibrate。
```javascript
var vibrateInterval;
function startVibrate(duration) {
navigator.vibrate(duration);
}
function stopVibrate() {
if(vibrateInterval) clearInterval(vibrateInterval);
navigator.vibrate(0);
}
function startPeristentVibrate(duration, interval) {
vibrateInterval = setInterval(function() {
startVibrate(duration);
}, interval);
}
```
## Luminosity API
Luminosity API用于屏幕亮度调节,当移动设备的亮度传感器感知外部亮度发生显著变化时,会触发devicelight事件。目前,只有Firefox部署了这个API。
```javascript
window.addEventListener('devicelight', function(event) {
console.log(event.value + 'lux');
});
```
上面代码表示,devicelight事件的回调函数,接受一个事件对象作为参数。该对象的value属性就是亮度的流明值。
这个API的一种应用是,如果亮度变强,网页可以显示黑底白字,如果亮度变弱,网页可以显示白底黑字。
```javascript
window.addEventListener('devicelight', function(e) {
var lux = e.value;
if(lux < 50) {
document.body.className = 'dim';
}
if(lux >= 50 && lux <= 1000) {
document.body.className = 'normal';
}
if(lux > 1000) {
document.body.className = 'bright';
}
});
```
CSS下一个版本的Media Query可以单独设置亮度,一旦浏览器支持,就可以用来取代Luminosity API。
```css
@media (light-level: dim) {
/* 暗光环境 */
}
@media (light-level: normal) {
/* 正常光环境 */
}
@media (light-level: washed) {
/* 明亮环境 */
}
```
## Orientation API
Orientation API用于检测手机的摆放方向(竖放或横放)。
使用下面的代码检测浏览器是否支持该API。
```javascript
if (window.DeviceOrientationEvent) {
// 支持
} else {
// 不支持
}
```
一旦设备的方向发生变化,会触发deviceorientation事件,可以对该事件指定回调函数。
```javascript
window.addEventListener("deviceorientation", callback);
```
回调函数接受一个event对象作为参数。
```javascript
function callback(event){
console.log(event.alpha);
console.log(event.beta);
console.log(event.gamma);
}
```
上面代码中,event事件对象有alpha、beta和gamma三个属性,它们分别对应手机摆放的三维倾角变化。要理解它们,就要理解手机的方向模型。当手机水平摆放时,使用三个轴标示它的空间位置:x轴代表横轴、y轴代表竖轴、z轴代表垂直轴。event对象的三个属性就对应这三根轴的旋转角度。
- alpha:表示围绕z轴的旋转,从0到360度。当设备水平摆放时,顶部指向地球的北极,alpha此时为0。
- beta:表示围绕x轴的旋转,从-180度到180度。当设备水平摆放时,beta此时为0。
- gramma:表示围绕y轴的选择,从-90到90度。当设备水平摆放时,gramma此时为0。
