窥探 Script 标签
0x01 什么是 script 标签?
script 标签允许你包含一些动态脚本或数据块到文档中,script 标签是非闭合的,你也可以将动态脚本或数据块当做 script 的文本节点。就是内联脚本。
一般我们最常用的就是写一些 javascript 脚本在 script 标签里,但是 script 也可以用来存储一些数据,比如当你设置 type="text/react" 的 script 时就可以在里面放 react 代码,但是游览器是不会执行它无法识别的 type 的,因此 script 还可以用来存放一些临时 APP 数据。
<script src="game-engine.js"></script>
<script type="text/x-game-map">
........U.........e
o............A....e
.....A.....AAA....e
.A..AAA...AAAAA...e
</script>
也可以通过 documents.scripts[0].text 获取到第一个脚本的内容,可以修改它,但是不会有任何作用。
0x02 src 属性
当你指定了 src 属性时,外部脚本的内容是不受脚本内容限制的;同时你的 script 标签内必须是空的。如果没有指定 src,就称这段脚本是内联的,内联脚本受到脚本内容限制。
什么是脚本内容限制?
<script>
alert(‘hello <script‘) // 报错, DOM 解析器会认为 <script 是一个 script 标签开头
alert(‘hello <!--‘) // 报错,DOM 解析器会认为 <!-- 是一个注释开头
if (1<script) { } // 报错,DOM 解析器会认为 <script 是一个 script 标签开头
if (x<!--y ) { } // 报错,DOM 节气息会认为 <!-- 是一个注释开头
alert(‘hello <script‘) // 正常,添加了转义
alert(‘hello <!--‘) // 正常,添加了转义
</script>
所以看得出来,如果你使用打包工具,为了减少 CRP 而将脚本内联到文档里,代码要注意是否符合脚本内容限制;如果你还压缩了代码,更需要注意这一点。
0x03 defer 和 async 属性
<script defer=defer src="xxx"></script> <!-- 这段脚本不会阻塞 DOM 解析,会并发的下载脚本,并在 DOM 解析完成之后才会执行 -->
<script async src="xxx"></script> <!-- 这段脚本不会阻塞 DOM 解析,会并发的下载脚本,并在脚本下载完成后暂停 DOM 解析,然后执行脚本 -->
0x04 type=module和 nomodule 属性
在 script 中,默认的 type="text/javascript",还可以是 JavaScript MIME 中的任意一种。如果 script 里写的是 JavaScript,推荐省略 type 属性。不指定 defer 和 async 下的经典脚本的执行会阻塞 DOM 解析。
如果 type=module,则说明标签引用的是一个 ES 模块。
<script type="module">
import {addTextToBody} from ‘./utils.js‘;
addTextToBody(‘Modules are pretty cool.‘);
</script>
?
// utils.js
export function addTextToBody(text) {
const div = document.createElement(‘div‘);
div.textContent = text;
document.body.appendChild(div);
}
仅仅支持“裸导入”
// Supported:
import {foo} from ‘https://jakearchibald.com/utils/bar.js‘;
import {foo} from ‘/utils/bar.js‘;
import {foo} from ‘./bar.js‘;
import {foo} from ‘../bar.js‘;
// Not supported:
import {foo} from ‘bar.js‘;
import {foo} from ‘utils/bar.js‘;
支持 type=module 的游览器会自动忽略带有 nomodule 的 script 标签。方便你回退到不支持 module 的老式的用户代理。
<script type="module" src="module.js"></script>
<script nomodule src="fallback.js"></script>
而且 type=module 默认带有 defer
<!-- This script will execute after… -->
<script type="module" src="1.js"></script>
<!-- …this script… -->
<script src="2.js"></script>
<!-- …but before this script. -->
<script defer src="3.js"></script>
执行的顺序是 2.js,1.js,3.js
即便是内联的 module,依然具有 defer 属性。
<!-- This script will execute after… -->
<script type="module">
addTextToBody("Inline module executed");
</script>
<!-- …this script… -->
<script src="1.js"></script>
<!-- …and this script… -->
<script defer>
addTextToBody("Inline script executed");
</script>
<!-- …but before this script. -->
<script defer src="2.js"></script>
模块脚本只会执行一次
<!-- 1.js only executes once -->
<script type="module" src="1.js"></script>
<script type="module" src="1.js"></script>
<script type="module">
import "./1.js";
</script>
<!-- Whereas normal scripts execute multiple times -->
<script src="2.js"></script>
<script src="2.js"></script>
必须符合同源策略
<!-- This will not execute, as it fails a CORS check -->
<script type="module" src="https://….now.sh/no-cors"></script>
<!-- This will not execute, as one of its imports fails a CORS check -->
<script type="module">
import ‘https://….now.sh/no-cors‘;
addTextToBody("This will not execute.");
</script>
<!-- This will execute as it passes CORS checks -->
<script type="module" src="https://….now.sh/cors"></script>
模块脚本在跨域的时候默认是不带 credentials 的。
<!-- Fetched with credentials (cookies etc) -->
<script src="1.js"></script>
<!-- Fetched without credentials -->
<script type="module" src="1.js"></script>
<!-- Fetched with credentials -->
<script type="module" crossorigin src="1.js?"></script>
<!-- Fetched without credentials -->
<script type="module" crossorigin src="https://other-origin/1.js"></script>
<!-- Fetched with credentials-->
<script type="module" crossorigin="use-credentials" src="https://other-origin/1.js?"></script>
下图可以很好的诠释经典脚本和模块脚本加载的不同
模块脚本的依赖层级的增加会不会导致 CRP 长度的增加?
上图可以看出,层级很深的时候,用户代理会花费大量的时间在等待依赖文件的传输和解析上,因此这会导致 CRP 长度的增加;不过 http2 push 的魔法使得用户代理下载依赖文件的时间会大幅减少,服务器会分析模块的依赖树,然后在一次请求里回传所有依赖文件给用户代理。具体的讨论可以看 Are ES6 modules in brwosers going to get loaded level-by-level 详细讨论了这个问题。
0x05 charset 属性
给出脚本内容的编码方式;没有 src 的 script 不能设置该属性,模块脚本强行按 utf8 来解析。
0x06 noscript 标签
noscript 标签告诉游览器,如果你不支持脚本或脚本被禁用,那就显示我里面的内容。通常被用作脚本被禁用的回退方案。
0x07 最后
script 标签真的令人感到兴奋。
如果你觉得我的文章不错,可以关注我的
知乎专栏:挽起袖子搞前端
Segmentfault:mrcode的文章
技术博客:blog.mrcodex.com
推特:mrcodehang
新浪微博:Mr云航