超详细解析!什么是防御性编程?
扫描二维码
随时随地手机看文章
防御性编程是指一种预见代码可能出现问题并提前采取措施来防止这些问题发生的编程风格。在前端开发中,这尤其重要,因为你的代码直接与用户交互,任何错误都可能导致糟糕的用户体验,甚至安全漏洞。
什么是防御性编程?
顾名思义,防御性编程是一种细致、谨慎的编程方法。为了开发可靠的软件,我们要设计系统中的每个组件,以使其尽可能的”保护”自己。我们通过明确地在代码中对设想进行检查,这是一种努力,防止我们的代码以将会展现错误行为的方式被调用。
防御性编程是一种为了保证程序的不可预见的使用,不会造成程序功能上的损坏。
也就是说希望程序员编写出来更能抵抗错误和漏洞的程序。
对于软件开发人员来说,防御性编程就是一整套编程指南,对程序有着极高的理解能力,同时可以对可能遇到的问题具有预见性。
说一些常见的编程规范,也就是编程时候尽可能遵循的指南。
防御性编程使我们可以尽早的发现较小的问题,而不是等到它们发展成大的灾难的时候才发现。其开发软件的过程是:
下面总结了一些防御性编程的反对和支持者的意见:
反对者:
1、它降低了代码的效;即使是一个很小的额外代码也需要一些额外的执行时间。它对于一个函数来说也许不要紧,但是对于一个由10万个函数组成的系统,问题就变得严重了。
2、每种防御性的做法都需要一些额外的工作;
支持者:
1、防御性编程可以节省大量的调试时间,使你可以去做更有意义的事情。
2、编写可以正常运行、只是速度有些慢的代码,要远远好过大多数时间都正常运行、但是有时候会崩溃的代码。
3、防御性编程避免了大量的安全性问题。
防御性编程技巧
1、使用好的编码风格和合理的设计
采用良好的编码风格,来防范大多数编码错误。如:
◆ const关键字:
关键字const可以给读你代码的人传达非常有用的信息。例如,在函数的形参前添加const关键字意味着这个参数在函数体内不会被修改,属于输入参数。
同时,合理地使用关键字const可以使编译器很自然的保护那些不希望被修改的参数,防止其被无意的代码修改,减少bug的出现。
以下是如何在前端开发中进行防御性编程的一些关键策略:
1. 输入验证:
永远不要信任用户输入: 始终验证所有来自用户、API 或其他外部来源的数据。这包括检查数据类型、长度、格式和范围。
使用合适的验证库或工具: 利用现有的库或框架提供的验证功能,例如 Joi, Yup, validator.js 等,可以简化验证过程并提高代码的可读性。
对所有输入进行消毒: 防止跨站脚本攻击 (XSS) 等安全漏洞。使用专门的库或函数对输入进行转义或编码。例如,DOMPurify 可以帮助清理 HTML 输入。
2. 处理空值和未定义值:
使用可选链操作符 (?.) 和空值合并运算符 (??) : JavaScript 的这两个运算符可以有效地处理可能为空或未定义的值,避免出现 TypeError。
在访问对象属性之前进行检查: 在访问嵌套对象属性之前,确保父对象存在。
为函数参数设置默认值: 避免函数在缺少参数时产生意外行为。
3. 错误处理:
使用 try...catch 块: 捕获可能抛出的异常,并提供适当的错误处理机制。
记录错误信息: 使用 console.error 或专门的日志记录工具记录错误信息,以便调试和监控。
向用户显示友好的错误信息: 避免将原始错误信息直接展示给用户,而是提供更易理解和有帮助的提示。
处理异步操作中的错误: 使用 .catch() 方法捕获 Promise 或 async/await 函数中的错误。
4. 代码清晰和注释:
编写清晰易懂的代码: 使用有意义的变量名和函数名,并保持代码简洁。
添加必要的注释: 解释代码的逻辑和目的,尤其是在复杂的代码块中。
5. 使用类型检查:
使用 TypeScript 或 Flow: 这些工具可以帮助你在编译时发现类型错误,从而减少运行时错误的可能性。
6. 测试:
编写单元测试和集成测试: 确保代码的各个部分都能正常工作,并能正确地处理各种输入和边缘情况。
示例:
// 不安全的代码
function displayUserData(userData) {
document.getElementById('username').innerText = userData.name;
document.getElementById('email').innerText = userData.email;
}
// 防御性编程示例
function displayUserData(userData) {
if (!userData) {
console.error('User data is missing.');
return;
}
document.getElementById('username').innerText = userData.name ?? 'N/A';
document.getElementById('email').innerText = userData.email ?? 'N/A';
// 使用 DOMPurify 进行 XSS 防御 (需要引入 DOMPurify 库)
// let cleanEmail = DOMPurify.sanitize(userData.email);
// document.getElementById('email').innerText = cleanEmail || 'N/A';
}