一、历史背景 + 时间轴

网页一旦需要 “实时” ，麻烦就开始了：数据在不断变化，用户却只能等下一次刷新；

• 刷新解决不了的延迟，用短轮询凑数，又被无数空请求反噬；
• 再加长轮询，试图把“有了新数据再说”变成一种伪推送，却仍困在请求—响应的笼子里。
• 开发者于是继续前探：让连接不再频繁重建，尝试分块直输，把事件像水一样持续送达，于是有了更顺滑的 Streaming 与标准化的 SSE。

直到某一刻，我们不再满足于“更聪明的单向”，而是迈向真正的“同时说话与倾听”——WebSocket 把通信从一次次请求，变成一条持久而通透的通道。此后，

• HTTP/2、HTTP/3 与 QUIC 又在底层为效率和时延开了绿灯，甚至提供了可选可靠与无序传输的更多可能。

接下来，我们就沿着这条主线，层层展开：它们各自解决了什么、在哪些场景最合拍、又如何在你的系统里形成清晰的选型边界。

01｜从整页刷新出发：减少浪费的一条链路

这一块是为了解决“整页刷新导致的高延迟与带宽浪费”，逐级细化与优化。

a. 早期网页：整页刷新

• 背景与问题：每次更新都整页请求，体验割裂、带宽浪费、延迟高。
• 直接影响：促使前端与服务端思考“只取变化”。

b. 短轮询（Short Polling）为解决整页刷新的低效

• 解决：改为“隔一段时间拉一次”，显著减少整页重载带来的浪费。
• 局限：高频请求带来大量空响应与服务器开销。
• 承接改进：为减少空转，演进到长轮询；同时催生更流式的思路（Streaming/SSE）。

c. 长轮询（Comet/挂起请求）为减少短轮询的空转

• 解决：请求挂起，服务器有新数据才返回，接近“伪推送”，显著降低空转。
• 局限：本质仍是请求-响应；连接频繁重建；难做真正双向。
• 承接改进：
  • 单向推送更稳：SSE 标准化单向事件流。
  • 若要真双向与二进制：交给 WebSocket（见独立块）。

d. HTTP Streaming（分块传输/持续输出）为进一步降低重连与延迟

• 解决：保持连接，分块持续输出，适合连续文本/事件流，重连更少、延迟更低。
• 局限：多为单向，受代理/中间件影响，兼容性不一。
• 承接改进：单向事件由 SSE 标准化；双向场景仍需 WebSocket。

e. SSE（Server-Sent Events）单向推送的标准化终点

• 解决：以标准事件流语义提供单向推送，浏览器原生支持，资源占用低。
• 适配范围：通知、进度、日志/监控等文本或事件流。
• 位置关系：在“只需单向推送”的场景中，SSE 是这一链条的稳定落点，而非过渡技术。

---

02｜范式跃迁：WebSocket（独立大块）

这不是前面链条的“又一改良”，而是从请求-响应转向全双工持久连接的范式变化。

WebSocket（全双工、持久、低开销）

• 解决：真正的双向实时通信，降低握手与头部开销，支持文本与二进制，端到端延迟低。
• 典型场景：聊天、协同编辑、在线游戏、行情推送、IoT。
• 与上一链条的关系：
  • 在“需要双向实时”的主战场，实质上取代了短轮询/长轮询等过渡方案。
  • 与 SSE 并存：若只有单向通知/事件流，SSE 更简单更省资源；若需要双向或二进制，WebSocket 更合适。

• 运维关注：连接状态管理、容量与反压、企业代理/负载均衡兼容。

---

03｜底座升级与新选项：HTTP/2·HTTP/3·QUIC 家族

这部分不是替代前两块，而是提供更高效的承载与更灵活的传输语义。

WS over H2/H3

• 价值：与同域请求复用连接、更好穿透与效率、更低握手成本。
• 作用：让 WebSocket 的部署与网络效率更优。

WebTransport（基于 QUIC）

• 价值：可选可靠与有序/无序、更低延迟，适合实时媒体、游戏、定制协议。
• 关系：不是取代 WebSocket/SSE 的通吃方案，而是当你需要“更细粒度的可靠性与顺序控制”时的新工具。

二、速查表

实时推送的目标是“低延迟、双向或单向地把数据从服务端送到客户端”。主流技术选型包括：

三、WebSocket 核心定义（重要）

WebSocket 是 HTML5 推出的一种全双工(Full-Duplex)、持久化(Persistent)的网络通信协议， 基于TCP协议构建，允许客户端(浏览器)与服务器之间建立一条长期稳定的连接通道，实现「服务器主动向客户端推送数据」和「客户端实时向服务器发送数据」的双向通信，无需频繁建立/断开连接。

其核心特点可概括为：

• 全双工：通信双方可同时发送/接收数据(区别于HTTP的「请求-响应」单向通信)；
• 持久连接：连接建立后长期保持，避免HTTP每次通信都需重新握手的开销；
• 轻量协议：数据帧头部信息简洁(仅2-14字节)，传输效率远高于HTTP；
• 协议标识：客户端发起连接时使用ws：//(非加密)或wss：//(加密，基于TLS，类似HTTPS)作为协议前缀。

从零开始的完整流程

下面是一条你在前端真实会走的链路：创建连接 → HTTP 握手与协议切换 → 进入 WebSocket 双向通信 → 启动心跳检测 → 发现异常并重连 → 重连成功后的补偿 → 服务端跨域放行 → 正常/异常关闭。

---

1) 创建连接（入口）

你写下第一行代码时，要解决两件事：用对协议前缀、绑定好事件。

• 如果网页是 HTTPS 必须用 wss://，HTTP 页面用 ws://
• 立刻绑定 onopen/onmessage/onerror/onclose，以便后续重用。

示意代码（精简）：

• new WebSocket(url)
• 绑定事件：initWebSocketEvents(ws)

---

2) HTTP 握手与协议切换（从“请求”到“长连”）

客户端(浏览器) 创建 WebSocket 实例时，会发起一个特殊的 HTTP - GET，核心目的是 「请求将协议从HTTP升级为WebSocket」。服务端验证通过后返回 101，双方切换到 WebSocket 帧通信。

WebSocket 帧是双向通信中的最小传输结构，携带 “ 数据类型 、 是否为消息的最后一段 、 负载长度 、 掩码/密钥 、 实际数据 ” 。消息可以被拆成多帧连续发送，也可以一个帧就送完。

客户端发起「协议升级请求」(HTTP - GET 请求)

请求头中关键字段(面试高频考点)：

• GET /ws-endpoint HTTP/1.1：请求方法为 GET，路径为服务器的 WebSocket 端点(如/ws)；
• Host：example.com：服务器域名；
• Upgrade：websocket：核心字段，告知服务器「要升级协议为 WebSocket」；
• Connection：Upgrade：配合 Upgrade，表示「这是一个协议升级请求」；
• Sec-WebSocket-Key：dGhlIHNhbXBsZSBub25jzQ==：客户端生成的随机字符串(Base64 编码，长度 16 字节)，用于服务器验证(防止恶意连接)；
• Sec-WebSocket-Version：13：WebSocket 协议版本(当前主流为 13，需服务器支持)；
• Sec-WebSocket-Origin：https：//example.com：客户端所在域名(用于服务器跨域验证)。

服务器响应「协议升级成功」(HTTP - 101状态码)

服务器收到请求后，若支持 WebSocket 协议且验证通过(如 Sec-WebSocket-Key 验证、跨域验证) ，会返回HTTP - 101(SwitchingProtocols)状态码，表示「同意协议升级」。

响应头中关键字段 (面试高频考点)：

• HTTP/1.1 101 Switching Protocols：101 状态码是协议切换的标志；
• Upgrade： websocket：确认升级为WebSocket 协议；
• Connection：Upgrade：确认连接用于协议升级；
• Sec-WebSocket-Accept：s3pPLMBiTxaQ9kYGzzhZRbK+xOo=：服务器对Sec-WebSocket-Key 的处理结果(核心验证逻辑)：
  1. 服务器将客户端发送的 Sec-WebSocket-Key 与固定字符串 258EAFA5-E914-47DA-95CA-C5AB0DC85B11 拼接；
  2. 对拼接后的字符串进行 SHA-1 哈希计算；
  3. 将哈希结果转为 Base64 编码，即为 Sec-WebSocket-Accept 的值；
  4. 客户端会验证该值是否正确，若不正确则拒绝建立连接(防止伪造响应)。

---

3) 进入通信阶段（双向数据 + 基础发送）

握手通过，onopen 会触发。此时做两件事：

• 发送初始化数据（如身份、订阅主题）
• 启动心跳（下一步会讲）

通信注意：

• onmessage 既可能是字符串，也可能是二进制（Blob/ArrayBuffer）
• bufferedAmount 可用来做背压控制（积压太大时暂停继续 send）

---

4) 启动心跳（让连接“活着”且可感知）

持久连接会遭遇 Wi‑Fi 抖动、防火墙清理等问题。心跳=周期性发 ping，超时未收到 pong 就判死链。

推荐参数（可按业务调优）：

• HEARTBEAT_INTERVAL ≈ 30s
• HEARTBEAT_TIMEOUT ≈ 10s

实操要点：

• 启动前先清理旧定时器，避免重复
• 收到 pong 立即清除超时定时器
• onclose/onerror 必须停止心跳

---

5) 异常→重连（恢复连接但不过载）

一旦 onerror、onclose(code ≠ 1000) 或心跳判定超时，进入重连。

目标是：能恢复、不过载、可被用户停止。

策略三件套：

• 指数退避：1s → 2s → 4s … 最多 30s
• 次数上限：如 10 次（达到即停）
• 可控停止：提供“停止重连”或页面关闭时停

补偿机制：

• 在断开前缓存“待发送”数据（例如未发出的聊天消息）
• 重连成功后按序补发，确保业务连续性

---

6) 服务器放行跨域（握手能否过关的关键）

虽然 WebSocket 原生“支持跨域”，但握手是 HTTP，服务端需要对 Sec-WebSocket-Origin 做白名单校验。

否则会 403 或直接关闭。

• Node.js（ws）
  • 读取 req.headers['sec-websocket-origin']
  • 不在 allowedOrigins 列表：关闭 1008 “Cross-origin access denied”

• Spring Boot
  • registry.addHandler(...).setAllowedOrigins("https://a.com", "https://b.com")
  • 需要时 .withSockJS()提供降级

---

7) 正常关闭与资源清理（善始善终）

• 用户离开页面或主动退出：ws.close(1000, '用户主动退出')
• onclose 中停止心跳与重连，清空定时器与队列，避免泄漏
• 记录关闭原因码：1000 正常、1006 常见于异常/心跳超时

四、面试题

面试关注点通常围绕“协议对比、连接管理、消息语义、可靠性与扩展性、安全与运维成本”。

1、WebSocket 与 SSE 的差异与使用场景，HTTP轮询呢？

WebSocket（全双工，二进制/文本）

• 适用：即时聊天、协作编辑、游戏状态同步、行情推送、需要客户端→服务端主动上行的实时交互。
• 优点：低延迟、头开销小、全双工、支持二进制、可自定义子协议。
• 注意：需处理心跳、重连、背压、鉴权与扇出扩展；代理/LB 要正确透传 Upgrade 和超时设置。

Server-Sent Events（SSE，单向 server→client）

• 适用：通知流、日志流、监控事件、流式生成文本（如增量输出）、只需服务端下行的实时更新。
• 优点：浏览器原生 EventSource、文本流、自动重连、支持 Last-Event-ID 断点续传；实现简单。
• 注意：单向、仅文本（可 base64 二进制）、连接数限制与代理超时需要关注；移动端网络切换要做容错。

HTTP 轮询/长轮询（兼容兜底）

• 适用：对实时性要求不高的小流量场景、受网络环境或企业防火墙限制无法使用 WS/SSE 时的兜底。
• 优点：最易落地、与缓存/鉴权/监控体系天然兼容；对中间设备最友好。
• 注意：延迟更高、资源利用低；高频轮询会带来成本与限流压力。

✅ 重点

• WebSocket 通过 HTTP/1.1 Upgrade → 101 完成切换，此后是帧协议的全双工通道；Keep-Alive 仅是复用 TCP，不改变 HTTP 的请求-响应语义。
• 选型规则：需要双向实时交互选 WebSocket；单向事件流选 SSE；受限或低实时性场景用轮询作兜底。

2、如何设计一个可水平扩展的实时推送系统？

在可水平扩展的实时推送系统中，WebSocket 连接会分布在多台网关节点上。

核心挑战是如何在连接与消息不在同一台机器时，仍能把消息快速路由到正确的连接。可行的范式是

• 网关层负责连接
• 管道层负责路由与发布订阅
• 存储层负责状态与回放

🔌 网关层（负责连接）

• 终止 TLS/WS，维持心跳与速率限制，保持无状态实例。
• 建立本地索引：connectionId → 订阅集合，userId → connectionIds。
• 将连接元数据上报共享存储：connectionId、userId、nodeId、订阅、最近心跳。
• 仅订阅“与自己有关的分片”：按 userId/topic 的哈希分片从管道层拉取，减少无关扇出。
• 写通道背压与优先级：控制帧/关键消息优先，低优先级可丢尾或抽样。

---

🚇 管道层（负责路由与发布订阅）

• 选型具备分片与回放能力的总线（Kafka/Pulsar/NATS/Redis Streams）。
• 分片策略：
  • 点推：按 userId/connectionId 一致性哈希到分区，保证单用户局部有序。
  • 主题推送：按 topic 分区，网关本地再做订阅过滤与扇出。

• 路由方式：
  • 生产者只需写对的分片；总线按分区把消息送到订阅该分片的网关。
  • 广播/超大房间采用“分层扇出”：先到分片，再由各网关本地扇出，必要时加中间扇出代理。

• 去重与幂等：messageId 或 (topic, partition, offset) 作为幂等键，网关/客户端各自维护短期去重集合。

---

🗃️ 存储层（负责状态与回放）

• 会话与订阅状态：使用 Redis Cluster 或 KV 服务存 userId→connectionIds、connectionId→nodeId、订阅清单、心跳时间。
• 游标与回放：在总线层保留 offset；客户端重连携带 resumeToken，网关据此恢复订阅并按 offset 增量补发。
• 一致性与更新：订阅变更写事件流，相关网关消费后刷新本地索引；用版本号/逻辑时钟避免乱序覆盖。

3、如何保证消息不丢、不重、按序？

1. 不丢： 消息先落到能持久化、带副本确认的总线里（像“写盘且多副本到位才算成功”），写失败就退避重试；消费侧是“先送到用户手里或进可靠下行队列，再更新位点”，断线后拿着 resumeToken+offset 从保留的历史里把漏掉的补回来。
2. 不重： 每条消息都有一个不会撞车的“指纹”（messageId 或 topic-partition-offset）；网关用一小块内存做近端去重，只有第一次真正写入才前进位点，重复的一概忽略；客户端也按同一指纹做幂等处理，避免业务状态被二次改动。
3. 按序： 把需要有序的对象（userId/roomId）哈希到同一分区，借用分区内天然顺序；同一个键在网关里串行发送、同队列内重试，不跨分区不并行穿插，这样即使重试和补发也不会把顺序打乱。

4、心跳如何设计？超时如何判定？

这里的心跳，目标是 “保活、探测、可平滑重连”。

1. 不失联： 用应用层 ping/pong，客户端主发、服务端回；
   1. 间隔 20–60s，加±10%抖动
   2. 未知网络时取 20–30s，确保小于最短 NAT 空闲回收。

2. 怎么判死： 别一跳不回就拍板。记录 lastSeen，允许 2–3 次心跳未达或 now-lastSeen 超过 2–3 个周期再判断；进入“Suspect”时降级写入，仍有业务流量即立刻恢复。
3. 断了咋办：重连走指数退避并带抖动，携带 resumeToken/offset 补发；移动端切网优先复用会话，失败再重建。监控 RTT/丢包与 Suspect 比例，自动调心跳与阈值。

5、如何在 Nginx/Envoy 反向代理后稳定运行 WebSocket？

核心思路：让代理“不瞎操心”、连接“常被看见”、后端“可续上”。

• 代理设置：开启 WebSocket 升级；调大超时，禁用缓冲与压缩；保持 TCP keepalive，HTTP/2 用 CONNECT（H2/WebSocket）。
• 心跳与保活：应用层 ping/pong 20–30s（±10%抖动），保证小于代理/NAT空闲回收；大连接数用轻量负载均衡（hash by userId/roomId）避免跨节点迁移。
• 断线与重连：客户端指数退避+抖动，带会话 token/offset 续传；后端幂等去重，重放不重不丢。
• 运维与观测：开代理层指标（升级成功率、idle 关闭数、5xx）、RTT/丢包与重连率，异常时自适应缩短心跳或放宽超时。

6、如何做鉴权与权限隔离？

握手前校验 JWT；Subprotocol 指定租户/版本；频道级 ACL；避免敏感数据从客户端请求非授权频道。

• 握手前校验 JWT：在 HTTP Upgrade前验证 iss/aud/exp/签名并解析 tenant_id/user_id/scopes，避免建立长连后再踢。
• Subprotocol 指定租户/版本：用 Sec-WebSocket-Protocol 携带 tenant 和策略版本做白名单匹配，确保连接上下文一致。
• 频道级 ACL：频道强制以租户前缀命名，每次 subscribe/publish 依据 RBAC+scope 前缀（到资源或前缀）做服务端授权。
• 避免敏感数据越权：仅按服务器维护的“已授权订阅集合”下发数据，忽略客户端自报筛选请求并拒绝未授权频道。

7、如何评估性能与成本？

• 每连接内存占用： 用基线压测量出 MB/1k 连接的实际占用，结合目标并发外推单机上限并监控 GC/碎片。
• 每秒消息数（fanout×频率）： 用发布频率×平均扇出得到总吞吐，核算带宽与发送队列容量，识别热点频道放大效应。
• 尾延迟 P95/P99： 持续跟踪端到端延迟长尾并关联队列深度与CPU/GC事件，确保在SLA红线下仍稳定。
• 压测考虑广播峰值与重连风暴： 分别模拟大扇出瞬时广播与大量短时间内握手重连，验证背压、限速和握手路径的韧性。

8、遇到“重连风暴”怎么处理？

• 抖动退避（指数退避 + 随机抖动）： 客户端按指数退避间隔重试并加入随机抖动，避免同相位同时重连造成尖峰。
• 分批恢复： 将连接恢复按固定批次/时间片发放（如每 100ms 开放 N 个），把尖峰摊平到更长窗口。
• 服务端限流与排队： 在握手与认证路径设置并发/速率上限与队列，超限直接返回可重试错误或延迟令牌。
• 灰度放量： 按租户/区域/版本逐步提升允许重连比例，结合健康度与错误率自动调节放量速度。

9、前端如何封装一个健壮的 WebSocket 客户端？

• 状态机（ CONNECTING / OPEN / CLOSING / CLOSED ）： 用有限状态机驱动所有事件与迁移，单航道控制避免并发重连与回调竞态。
• 心跳/重连策略： 按固定心跳探活与半开检测，重连采用指数退避叠加随机抖动并设上限与冷却期。
• 消息序列化： 统一 envelope（type/id/ts/payload），默认 JSON，性能敏感时切 Protobuf/MessagePack 并保持向后兼容。
• 离线缓存与去重： 未连通时将待发入队、跨刷新用 IndexedDB，按 seq/uuid 去重并用 last-seq 做断点续传。
• 可观测日志： 记录连接尝试/关闭码/重连次数/心跳RTT/队列长度等指标与事件，便于快速定位长尾与故障。

作者：HiStewie
来源：juejin.cn/post/7572539461478907947

📝项目背景

​ 最近时间比较闲,摸鱼的时间越来越多了,人一闲下来就会想做点什么。说干就干，立马行动。

在刷了半小时pdd之后我买了张ui图，并根据这个ui做了一个大屏。

​ 最终效果如下：

📦项目地址

​ 这里附上项目地址，如果你觉得不错的话，帮我点一个小小的start。

👉 点我访问项目源码，欢迎 Star

🌐在线预览

这个预览地址是vercel的地址，如果你没有挂梯子的话，会访问不了。访问不了的话，建议直接本地跑项目。

在线预览

🛠️ 技术栈

​ 项目主要是vue3+echarts的组合，整个项目主要都是一些图表的应用。下面会介绍一些模块的实现思路。

💻一些模块的实现

🗺️中间地图

DataV的地址

​ 第一步先获取地图行政区的geo数据，以我这个项目为例，我需要获取山东省的地图数据。

打开dataV，找到数据可视化学院，在里面找到需要的行政区，把它的geojson下载下来。

下载下来的数据长这样

​ 这就是我们需要的geojson数据了。

​ 拿到数据之后，就需要将其渲染出来。

​ 这里我用的是echarts的地图。因为这个项目的地图，基本没有交互，就纯纯的数据展示。使用echarts来做的 效果会比，cesium那些更好。

注册地图

import * as echarts from 'echarts'

import sdData from '@/assets/data/山东省'

echarts.registerMap('sd', sdData as any)

先将前面下载来的数据geojson数据注册到echarts里面，并配置echarts的geo选项

{

    geo: [

      // 最外围发光边界

      {

        map: 'sd',

        aspectScale: 0.85,

        layoutCenter: ['50%', '50%'], //地图位置

        layoutSize: '100%',

        z: 12,

        emphasis: {

          disabled: true

        },

        itemStyle: {

          normal: {

            borderColor: 'rgb(180, 137, 81)',

            borderWidth: 8,

            shadowColor: 'rgba(218, 163, 88, 0.4)',

            shadowBlur: 20

          }

        }

      },

    ],

  }

这时候渲染出来的地图是纯色的，什么都没有 也没有立体。

因为这个geo是一个平面的地图，想要立体效果，可以通过堆叠地图，并且设置位移的方式实现

比如我这边就通过这种方式去实现

通过叠加多个图层，并且每个图层的layoutCenter都不同

最终就可以实现这种看起来很立体的二维地图

具体实现代码可以访问我的github仓库看，这里只介绍一下大致思路

🔢底部的数字字体和轮播

可以看到我底部的数字字体很特别，这不是图片，这是一种电子屏风格的数字字体。

我们在网上找一个类似的字体，将其下载下来，并用css的@font-face将其引入。然后在需要的地方用font-family使用即可。

除了这个，这里还有一个数字的轮播效果，我是用vue3-odometer实现的。

为什么用这个库呢，主要是使用方便，不用配置一堆乱七八糟的。

📊其他图表

​ 其它图表就比较常规了，这里就不做过多介绍，具体可以看源码的实现。

🔚 结尾

​ 这个大屏虽然只有一个页面，但是做的时候，相关的图表配置调整还是挺多的。后续打算开发一个mini版的后台管理，用来管理大屏数据，并且这个后台管理的接口用node开发，用来当作node后端的练习。

前端学习记录第5波，每半年一次。对前四次学习内容感兴趣的可以去我的掘金专栏“每周学习记录”进行了解。

第1周 12.30-1.5

本周学习了一个新的CSS媒体查询prefers-reduced-transparency，如果用户在系统层面选择了降低或不使用半透明，这个媒体查询就能够匹配，此特性与用户体验密切相关的。

更多内容参见我撰写的这篇文章：一个新的CSS媒体查询prefers-reduced-transparency —— http://www.zhangxinxu.com/wordpress/?…

第2周 1.6-1.12

这周新学习了一个名为Broadcast Channel的API，可以实现一种全新的广播式的跨页面通信。

过去的postMessage通信适合点对点，但是广播式的就比较麻烦。

而使用BroadcastChannel就会简单很多。

这里有个演示页面：http://www.zhangxinxu.com/study/20250…

左侧点击按钮发送消息，右侧两个内嵌的iframe页面就能接收到。

此API的兼容性还是很不错的：

更多内容可以参阅此文：“Broadcast Channel API简介，可实现Web页面广播通信” —— http://www.zhangxinxu.com/wordpress/?…

第3周 1.13-1.19

这周学习的是SVG半圆弧语法，因为有个需求是实现下图所示的图形效果，其中几段圆弧的长度占比每个人是不一样的，因此，需要手写SVG路径。

圆弧的SVG指令是A，语法如下：

M x1 y1 A rx ry x-axis-rotation large-arc-flag sweep-flag x2 y2

看起来很复杂，其实深究下来还好：

详见这篇文章：“如何手搓SVG半圆弧，手把手教程” - http://www.zhangxinxu.com/wordpress/?…

第4周-第5周 1.20-2.2

春节假期，学什么学，high起来。

第6周 2.3-2.9

本周学习Array数组新增的with等方法，这些方法在数组处理的同时均不会改变原数组内容，这在Vue、React等开发场景中颇为受用。

例如，在过去，想要不改变原数组改变数组项，需要先复制一下数组：

现在有了with方法，一步到位：

类似的方法还有toReversed()、toSorted()和toSpliced()。

更新内容参见这篇文章：“JS Array数组新的with方法，你知道作用吗？” - http://www.zhangxinxu.com/wordpress/?…

第7周 2.10-2.16

本周学习了两个前端新特性，一个JS的，一个是CSS的。

1. Set新增方法

JS Set新支持了intersection, union, difference等方法，可以实现类似交集，合集，差集的数据处理，也支持isDisjointFrom()是否相交，isSubsetOf()是否被包含，isSupersetOf()是否包含的判断。

详见此文：“JS Set新支持了intersection, union, difference等方法” - http://www.zhangxinxu.com/wordpress/?…

2. font-size-adjust属性

CSS font-size-adjust属性，可以基于当前字形的高宽自动调整字号大小，以便各种字体的字形表现一致，其解决的是一个比较细节的应用场景。

例如，16px的苹方和楷体，虽然字号设置一致，但最终的图形表现楷体的字形大小明显小了一圈：

此时，我们可以使用font-size-adjust进行微调，使细节完美。

p {  font-size-adjust: 0.545;}

此时的中英文排版效果就会是这样：

更新细节知识参见我的这篇文章：“不要搞混了，不是text而是CSS font-size-adjust属性” - http://www.zhangxinxu.com/wordpress/?…

第8周 2.17-2.23

本周学习的是HTML permission元素和Permissions API。

这两个都是与Web浏览器的权限申请相关的。

在Web开发的时候，我们会经常用到权限申请，比方说摄像头，访问相册，是否允许通知，又或者地理位置信息等。

但是，如果用户不小心点击了“拒绝”，那么用户就永远没法使用这个权限，这其实是有问题的，于是就有了元素，权限按钮直接暴露在网页中，直接让用户点击就好了。

但是，根据我后来的测试，Chrome浏览器放弃了对元素的支持，因此，此特性大家无需关注。

那Permissions API又是干嘛用的呢？

在过去，不同类型的权限申请会使用各自专门的API去进行，这就会导致开始使用的学习和使用成本比较高。

既然都是权限申请，且系统出现的提示UI都近似，何必来个大统一呢？在这种背景下，Permissions API被提出来了。

所有的权限申请全都使用一个统一的API名称入口，使用的方法是Permissions.query()。

完整的介绍可以参见我撰写的这篇文章：“HTML permission元素和Permissions API简介” - http://www.zhangxinxu.com/wordpress/?…

第9周 2.24-3.2

CSS offset-path属性其实在8年前就介绍过了，参见：“使用CSS offset-path让元素沿着不规则路径运动” - http://www.zhangxinxu.com/wordpress/?…

不过那个时候的offset-path属性只支持不规则路径，也就是path()函数，很多CSS关键字，还有基本形状是不支持的。

终于，盼星星盼月亮。

从Safari 18开始，CSS offset-path属性所有现代浏览器全面支持了。

因此，很多各类炫酷的路径动画效果就能轻松实现了。例如下图的蚂蚁转圈圈动画：

详见我撰写的此文：“终于等到了，CSS offset-path全浏览器全支持” - http://www.zhangxinxu.com/wordpress/?…

第10周 3.3-3.9

CSS @supports规则新增两个特性判断，分别是font-tech()和font-format()函数。

1. font-tech()

font-tech()函数可以检查浏览器是否支持用于布局和渲染的指定字体技术。

例如，下面这段CSS代码可以判断浏览器是否支持COLRv1字体（一种彩色字体技术）技术。

@supports font-tech(color-COLRv1) {}

2. font-format()

font-format()这个比较好理解，是检测浏览器是否支持指定的字体格式的。

@supports font-format(woff2) {   /* 浏览器支持woff2字体 */ }

不过这两个特性都不实用。

font-tech()对于中文场景就是鸡肋特性，因为中文字体是不会使用这类技术的，成本太高。

font-format()函数的问题在于出现得太晚了。例如woff2字体的检测，这个所有现代浏览器都已经支持了，还有检测的必要吗，没了，没有意义了。

不过基于衍生的特性还是有应用场景的，具体参见此文：“CSS supports规则又新增font-tech,font-format判断” - http://www.zhangxinxu.com/wordpress/?…

第11周 3.10-3.16

本周学习了一种更好的文字隐藏的方法，那就是使用::first-line伪元素，CSS世界这本书有介绍。

::first-line伪元素可以在不改变元素color上下文的情况下变色。

可以让按钮隐藏文字的时候，里面的图标依然保持和原本的文字颜色一致。

详见这篇文章：“一种更好的文字隐藏的方法-::first-line伪元素” - http://www.zhangxinxu.com/wordpress/?…

第12周 3.17-3.23

本周学习了下attachInternals方法，这个方法很有意思，给任意自定义元素使用，可以让普通元素也有原生表单控件元素一样的特性。

比如浏览器自带的验证提示：

比如说提交的时候的FormData或者查询字符串：

有兴趣的同学可以访问“研究下attachInternals方法，可让普通元素有表单特性”这篇文章继续了解 - http://www.zhangxinxu.com/wordpress/?…

第13周 3.24-3.30

本周学习了一个新支持的HTML属性，名为blocking 属性。

它主要用于控制资源加载时对渲染的阻塞行为。

blocking 属性允许开发者对资源加载的优先级和时机进行精细控制，从而影响页面的渲染流程。浏览器在解析 HTML 文档时，会根据 blocking 属性的值来决定是否等待资源加载完成后再继续渲染页面，这对于优化页面性能和提升用户体验至关重要。

blocking 属性目前支持的HTML元素包括

使用示意：

更多内容参见我撰写的这篇文章：“光速了解script style link元素新增的blocking属性” - http://www.zhangxinxu.com/wordpress/?…

第14周 3.31-4.6

本周学习了JS EditContext API。

EditContext API 是 Microsoft Edge 浏览器提供的一个 Web API，它允许开发者在网页中处理文本输入事件，以便在原生输入事件（如 keydown、keypress 和 input）之外，实现更高级的文本编辑功能。

详见我撰写的这篇文章：“JS EditContext API 简介” - http://www.zhangxinxu.com/wordpress/?…

第15周 4.7-4.13

本周学习一个DOM新特性，名为caretPositionFromPoint API。

caretPositionFromPoint可以基于当前的光标位置，返回光标所对应元素的位置信息，在之前，此特性使用的是非标准的caretRangeFromPoint方法实现的。

和elementsFromPoint()方法的区别在于，前者返回节点及其偏移、尺寸等信息，而后者返回元素。

比方说有一段

元素文字描述信息，点击这段描述的某个文字，caretPositionFromPoint()方法可以返回精确的文本节点以及点击位置的字符偏移值，而elementsFromPoint()方法只能返回当前

元素。

不过此方法的应用场景比较小众，例如点击分词断句这种，大家了解下即可。

详见我撰写的这篇文章：“DOM新特性之caretPositionFromPoint API” - http://www.zhangxinxu.com/wordpress/?…

第16周 4.14-4.20

本周学习的是getHTML(), setHTMLUnsafe()和parseHTMLUnsafe()这三个方法，有点类似于可读写的innerHTML属性，区别在于setHTMLUnsafe()似乎对Shadow DOM元素的设置更加友好。

parseHTMLUnsafe则是个document全局方法，用来解析HTML字符串的。

这几个方法几乎是同一时间支持的，如下截图所示：

具体参见我写的这篇文章：介绍两个DOM新方法setHTMLUnsafe和getHTML - http://www.zhangxinxu.com/wordpress/?…

第17周 4.21-4.27

光速了解HTML shadowrootmode属性的作用。

shadowRoot的mode是个只读属性，可以指定其模式——打开或关闭。

这定义了影子根的内部功能是否可以从JavaScript访问。

当影子根的模式为“关闭”时，影子根的实现内部无法从JavaScript访问且不可更改，就像元素的实现内部不能从JavaScript访问或不可更改一样。

属性值是使用传递给Element.attachShadow()的对象的options.mode属性设置的，或者在声明性创建影子根时使用<template>元素的shadowrootmode属性设置的。

类似的属性总共有4个：

• shadowRootClonable 标示可复制状态


• shadowRootDelegatesFocus 标示聚焦委托状态（子元素点击，ShadowRoot获得焦点）


• shadowRootMode 标示开放状态


• shadowRootSerializable 标示序列化状态

这些属性都是与Web Components开发相关的，我看还有人用在SSR中，可以遍历组件元素内部的信息。

详见我整理的这篇文章：“光速了解HTML shadowrootmode等属性的作用” - http://www.zhangxinxu.com/wordpress/?…

第18周 4.28-5.4

最近已经在正式项目中使用scale, rotate, translate属性了（注意，没有skew属性），很赞，毕竟这几个特性已经支持4年多了。

告别transform属性，直接使用scale、rotate和translate属性，是 CSS 发展的一个新趋势。它们不仅语法简洁、易于使用，而且能让我们更方便地对元素的变形效果进行独立控制，提高代码的可维护性和性能。在未来的前端开发中，我们应该积极拥抱这些新特性，让我们的 CSS 代码更加简洁、高效。

详见此文：告别transform，是时候直接使用scale, rotate属性啦 - http://www.zhangxinxu.com/wordpress/?…

第19周 5.5-5.11

本周学习CSS animation-composition属性，该属性可以让动画效果累加。

演示页面地址见这里：不同值混合后的动画效果demo - http://www.zhangxinxu.com/study/20250…

支持replace、add和accumulate这三个值，其中后面两个值很容易混淆，add直接就是属性值累加，accumulate则是属性的计算值累加。

animation-composition特别适合用在transform定位的同时需要transform动画的场景中。

详见我写的这篇文章：“CSS animation-composition可以让动画效果累加” - http://www.zhangxinxu.com/wordpress/?…

第20周 5.12-5.18

这是这周才知道的一个知识，那就是输入框的value值也能直接返回数值类型。

已知输入框元素： 

<input id="number" min="1" max="10" type="number" />

平常我们获取输入框的值都是使用 number.value 获取的，但是这个属性的返回值是个字符串。

其实现在浏览器支持直接返回数值类型的，使用numer.valueAsNumber即可。

类似的还有valueAsDate属性，适合时间类型的输入框。

详见此文：你知道吗，输入框的value值也能直接返回数值类型 - http://www.zhangxinxu.com/wordpress/?…

第21周 5.19-5.25

Chrome 133实现了attr()函数所有CSS属性都支持，这个特性可就厉害了。

举个例子，有一个链接地址是图片，那么，无需img元素介入，纯CSS就能让这个地址以图片的方式显示出来。

代码示意：

<a href="example.jpg">图片？</a>

[href]::before {   

  content: '';   

  display: block;  

  width: 150px; height: 200px;   

  background: image-set(attr(href));   

  background-size: cover;

}

此时，图片显示的效果就可以实现了。

关于attr()函数更多内容，可以参加此文：“震惊，有生之年居然看到CSS attr()全属性支持” - http://www.zhangxinxu.com/wordpress/?…

第22周 5.26-6.1

本周学习的是JS PageSwapEvent事件，乍一看，以为是页面切换触发的事件。

后来细细一研究，并不是，这个事件发生在，如果页面设置了页面级别的Page Transition过渡效果（URL跳转的页面之间也能平滑过渡，参见下面GIF图），在页面离开的时候，会触发。

主要是方便开发者精确控制页面间的动画细节用的。

这么一看，此事件算是比较小众的，平常开发使用机会并不大，了解下即可。

详见此文：“JS PageSwap PageReveal事件干嘛用的？” -http://www.zhangxinxu.com/wordpress/?…

第23周 6.2-6.8

本周学习的是CSS新的伪元素::scroll-button，其通过特定语法，可以给滚动容器创建自定义的滚动定位按钮，例如：

ul::scroll-button(left) { content: "◄"; } 

ul::scroll-button(right){content:"►";}

配合Scroll Snap，可以纯CSS实现slider效果：

更多内容容我本周继续深入学习。

第24周 6.9-6.15

本周学习::scroll-marker伪元素。

上周学习的::scroll-button()伪元素函数可以给Carousel 效果增加左右切换按钮

这周学习的::scroll-marker则可以给Scroll Snap交互的列表元素创建索引切换按钮，以便定位到具体的元素上，效果参见：

::scroll-marker需要配合scroll-marker-group属性和::scroll-marker-group伪元素一起使用才能生效。

另外，同时被浏览器支持的还有::column伪元素，如果Snap效果是使用columns布局实现的时候使用。

更多内容，可以访问这篇文章：“CSS ::scroll-button ::scroll-marker伪元素又是干嘛用的？” - http://www.zhangxinxu.com/wordpress/?…

第25周 6.16-6.22

本周学习了text-wrap的两个子属性和两个新值。

text-wrap:pretty声明和text-wrap:wrap是一样的，区别在于text-wrap:pretty更注重排版，而非性能，也就是wrap的算法速度更快。

text-wrap:stable可以让编辑内容前面的行内容保持稳定，而不会整个文本内容发生排版变化。

两个子属性，一个是text-wrap-mode，还有一个是text-wrap-style。

更多相关内容参见这篇文章：text-wrap进化:支持两子属性和pretty stable新值 - http://www.zhangxinxu.com/wordpress/?…

第26周 6.23-6.29

本周学习clip-path shape()函数。

之前的路径剪裁使用的是path()函数，但是会有尺寸无法自适应的问题。

因为SVG路径里面的数值都是固定的像素px大小，在SVG元素中，这些大小与SVG外部尺寸关联，不会有问题，但是，放在CSS图像中，那就问题大了。

例如，Font Awesome小图标SVG基本尺寸都是512*512，其path坐标值都是好几百的值。

但是，CSS小图标的尺寸是20*20，如果应用几百数值的剪裁路径，小图标肯定就有问题，对不对？

要么path坐标等比例缩小，要么CSS小图标尺寸也设成512像素，然后再zoom缩放，但这样实现就很麻烦。

于是，在这个背景下，clip-path的shape()函数应运而生。

.use-shape {  

  clip-path: shape(from 50% 0%,curve to 0% 50% with 22.38% 0%/0% 22.38%,smooth by 50% 50% with 22.38% 50%,smooth by 50% -50% with 50% -22.38%,smooth to 50% 0% with 77.62% 0%,close);

}

支持百分比值，和CSS calc等数学函数，自动和元素尺寸相适应，就很厉害！

对此，我还专门开发了一个CSS clip-path path() to shape()函数转换工具 - http://www.zhangxinxu.com/sp/path2sha…

详见我撰写的这篇文章：“CSS小图标剪裁终极解决方案clip-path shape()函数” - http://www.zhangxinxu.com/wordpress/?…

-------------

好，以上就是我这个40岁的老前端上半年学习的内容，下半年我还将继续学习，继续保持对前端的好奇心，欢迎关注，转发，一起进步。

前两天线上出了个漏洞，导致线上业务被薅了 2w 多块钱。几天晚上没咋睡，问 ChatGPT，查了几晚资料，复盘工作这么久来犯下的错误。

我在公司做的大部分是探索性、创新性的需求，行内人都知道这些活都是那种脏活累活，需求变化大，经常一句话；需求功能多，看着简单一细想全是漏洞；需求又紧急，今天不上线业务就要没。

所以第一个建议就是大家远离这些需求，否则你会和我一样变得不幸。

但是👴🐂🍺啊，接下来也就算了，还全干完了。正常评估一个月的需求，我 tm 半个月干完上线；你给我一句话，我干完一整条链路上的事；你说必须今天上线，那就加班加点干上线。

就这样干了几年，黄了很多，也有做起来的。但是不管业务怎么发展，这样做时间长了会出现很多致命问题。

开发忙成狗

一句话需求太多，到最后只有开发最了解业务，所有人所有事都来找开发，开发也是人，开发还要写代码呢。最先遇到的问题就是时间严重不够，产品跟个摆设一样，什么忙都帮不上，我成了产品开发结合体。

bug 来了

开发一忙，节奏就乱了，乱则生 bug，再加上原本需求上逻辑不完整的深坑，坑上叠坑，出 bug 是迟早的事。

形象崩塌

一旦出现 bug，人设就毁了。记住一句话，没人会感谢你把原本一个月的需求只用半个月上线，大家都觉得这玩意本来就半个月工时。慢慢的开始以半个月的工时要求你。

那些 bug 自己回头，慢慢做都是可以避免的，就像考试的时候做完了卷子复查一遍，很多问题回头看一下都能发现，结果因为前期赶工，没时间回看，而且有很多图快的写法，后期都是容易出问题的。

形象崩塌在职场中是最恐怖的，正所谓好事不出门，坏事传千里。

一旦出了问题，团队、领导、所有人对你的体感，那都是直线下降，你之前做的所有好事，就跟消失了一样，别人对你的印象，一提起来说的都是，这不是当时写出 xxx bug 的人吗？这还怎么在职场生存？脸都没了，项目好处也跟自己没关系了。

我 tm 真是愣头青啊蠢的💊💩，从入职开始都想的是多学点多干点，结果干的越多错的越多，现在心态干崩了，身体干垮了，钱还没混子多，还背了一身骂名和黑锅。

之前我看同事写代码贼慢，鼠标点来点去，打字也慢一拍，我忍不住说他你这写代码速度太慢了，可以用 xxx 快捷键等等，现在回想起来，我说他不懂代码，其实是我不懂职场。

我真是个纯纯的可悲🤡。

提桶跑路

bug 积累到一定程度，尤其是像我这样出现点资金的问题，那也差不多离走人不远了，我感觉我快到这个阶段了，即使不走，扣钱扣绩效也是在所难免的，综合算下来，还没那些混子赚的多。

我亲自接触的联调一哥们儿，一杯茶，一包烟，一个 bug 修一天。是真真正正的修了一天，从早到晚。那天我要上线那个需求，我不停的催他，后来指着代码说着逻辑让他写，最终半夜转点上线。我累的半死不活，我工资和他差不多，出了问题我还要背锅。

我现在听到 bug 都 PTSD 了，尤其是资金相关的，整个人就那种呆住，大脑空白，心脏像被揪住，我怀疑我有点心理问题了都。

为什么别人可以那么安心的摸鱼？为什么我要如此累死累活还不讨好？我分析出几点我的性格问题。

责任心过强

什么事都觉得跟自己有关系，看着别人做的不好，我就自己上手。

到后期产品真 tm 一句话啊，逻辑也不想，全等着我出开发方案，产品流程图，我再告诉她哪里要改动。不是哥们？合着我自己给出需求文档再自己写代码？

为人老实

不懂拒绝，不懂叫板。

运营的需求，来什么做什么，说什么时候上线就什么时候上线。不是哥们？我都还不知道要做什么，你们把上线时间都定了？就 tm 两字，卑微。

用力过猛

十分力恨不得使出十一分，再加一分吃奶的劲儿。一开始就领导很高的期望，后面活越来越多，而且也没什么晋升机会了，一来的门槛就太高了知道吧，再想提升就很难了。

先总结这么多吧，我现在心情激荡的很，希望给各位和我性格差不多一点提醒，别像我这样愣头青，吃力不讨好，还要遭人骂。后面再写写改进办法。

你给后台管理系统加了一个「企业风采」模块，运营同学一口气上传了 200 张 8K 宣传海报。首屏直接飙到 8.3 s，LCP 红得发紫。

老板一句「能不能像朋友圈那样滑到哪看到哪？」——于是你把懒加载重新翻出来折腾了一轮。

解决方案：三条技术路线，你全踩了一遍

1. 最偷懒：原生 loading="lazy"

一行代码就能跑，浏览器帮你搞定。

<img

  src="https://cdn.xxx.com/poster1.jpg"

  loading="lazy"

  decoding="async"

  width="800" height="450"

/>

🔍 关键决策点

• loading="lazy" 2020 年后现代浏览器全覆盖，IE 全军覆没。


• 必须写死 width/height，否则 CLS 会抖成 PPT。

适用场景：内部系统、用户浏览器可控，且图片域名已开启 Accept-Ranges: bytes（支持分段加载）。

2. 最稳妥：scroll 节流 + getBoundingClientRect

老项目里还有 5% 的 IE11 用户，我们只能回到石器时代。

// utils/lazyLoad.js

const lazyImgs = [...document.querySelectorAll('[data-src]')];

let ticking = false;



const loadIfNeeded = () => {

  if (ticking) return;

  ticking = true;

  requestAnimationFrame(() => {

    lazyImgs.forEach((img, idx) => {

      const { top } = img.getBoundingClientRect();

      if (top < window.innerHeight + 200) { // 提前 200px 预加载

        img.src = img.dataset.src;

        lazyImgs.splice(idx, 1); // 🔍 及时清理，防止重复计算

      }

    });

    ticking = false;

  });

};



window.addEventListener('scroll', loadIfNeeded, { passive: true });

🔍 关键决策点

• 用 requestAnimationFrame 把 30 ms 的节流降到 16 ms，肉眼不再掉帧。


• 预加载阈值 200 px，实测 4G 网络滑动不白屏。

缺点：滚动密集时 CPU 占用仍高，列表越长越卡。

3. 最优雅：IntersectionObserver 精准观测

新项目直接上 Vue3 + TypeScript，我们用 IntersectionObserver 做统一调度。

// composables/useLazyLoad.ts

export const useLazyLoad = (selector = '.lazy') => {

  onMounted(() => {

    const imgs = document.querySelectorAll<HTMLImageElement>(selector);

    const io = new IntersectionObserver(

      (entries) => {

        entries.forEach((e) => {

          if (e.isIntersecting) {

            const img = e.target as HTMLImageElement;

            img.src = img.dataset.src!;

            img.classList.add('fade-in'); // 🔍 加过渡动画

            io.unobserve(img);            // 观测完即销毁

          }

        });

      },

      { rootMargin: '100px', threshold: 0.01 } // 🔍 提前 100px 触发

    );

    imgs.forEach((img) => io.observe(img));

  });

};

原理剖析：从「事件驱动」到「观测驱动」

一句话总结：把「我每隔 16 ms 问一次」变成「浏览器你告诉我啥时候到」。

应用扩展：把懒加载做成通用指令

在 Vue3 项目里，我们干脆封装成 v-lazy 指令，任何元素都能用。

// directives/lazy.ts

const lazyDirective = {

  mounted(el: HTMLImageElement, binding) {

    const io = new IntersectionObserver(

      ([entry]) => {

        if (entry.isIntersecting) {

          el.src = binding.value; // 🔍 binding.value 就是 data-src

          io.disconnect();

        }

      },

      { rootMargin: '50px 0px' }

    );

    io.observe(el);

  },

};



app.directive('lazy', lazyDirective);

模板里直接写：

<img v-lazy="item.url" :alt="item.title" />

举一反三：三个变体场景思路

小结

• 浏览器新特性能救命的，就别再卷节流函数了。


• 写死尺寸、加过渡、及时 unobserve，是懒加载不翻车的三件套。


• 把观测器做成指令/组合式函数，后续业务直接零成本接入。

现在你的「企业风采」首屏降到 1.2 s，老板滑得开心，运营继续传 8K 图，世界和平。

从前端到爆点！抖音级 H5 如何炼成？

在万物互联的时代，H5 页面已成为产品推广的利器。当产品经理丢给你一个“像抖音一样流畅的 H5”任务时，是挑战还是机遇？别慌，今天就带你走进抖音 H5 的前端魔法世界。

一、先看清本质：抖音 H5 为何丝滑？

抖音 H5 之所以让人欲罢不能，核心在于两点：极低的卡顿率和极致的交互反馈。前者靠性能优化，后者靠精心设计的交互逻辑。比如，你刷视频时的流畅下拉、点赞时的爱心飞舞，背后都藏着前端开发的“小心机”。

二、性能优化：让页面飞起来

（一）懒加载与预加载协同作战

懒加载是 H5 性能优化的经典招式，只在用户即将看到某个元素时才加载它。但光靠懒加载还不够，聪明的抖音 H5 还会预加载下一个可能进入视野的元素。以下是一个基于 IntersectionObserver 的懒加载示例：

document.addEventListener('DOMContentLoaded', () => {

  const lazyImages = [].slice.call(document.querySelectorAll('img.lazy'));

  if ('IntersectionObserver' in window) {

    let lazyImageObserver = new IntersectionObserver((entries) => {

      entries.forEach((entry) => {

        if (entry.isIntersecting) {

          let lazyImage = entry.target;

          lazyImage.src = lazyImage.dataset.src;

          lazyImageObserver.unobserve(lazyImage);

        }

      });

    });

 lazy   Images.forEach((lazyImage) => {

      lazyImageObserver.observe(lazyImage);

    });

  }

});

（二）图片压缩技术大显神威

图片是 H5 的“体重”大户。抖音 H5 常用 WebP 格式，它在保证画质的同时，能将图片体积压缩到 JPEG 的一半。你可以用以下代码轻松实现图片格式转换：

function compressImage(inputImage, quality) {

  return new Promise((resolve) => {

    const canvas = document.createElement('canvas');

    const ctx = canvas.getContext('2d');

    canvas.width = inputImage.naturalWidth;

    canvas.height = inputImage.naturalHeight;

    ctx.drawImage(inputImage, 0, 0, canvas.width, canvas.height);

    const compressedImage = new Image();

    compressedImage.src = canvas.toDataURL('image/webp', quality);

    compressedImage.onload = () => {

      resolve(compressedImage);

    };

  });

}

三、交互设计：让用户欲罢不能

（一）微动画营造沉浸感

在点赞、评论等关键操作上，抖音 H5 会加入精巧的微动画。比如点赞时的爱心从手指位置飞出，这其实是一个 CSS 动画加 JavaScript 事件监听的组合拳。以下是一个简易版的点赞动画代码：

@keyframes flyHeart {

  0% {

    transform: scale(0) translateY(0);

    opacity: 0;

  }

  50% {

    transform: scale(1.5) translateY(-10px);

    opacity: 1;

  }

  100% {

    transform: scale(1) translateY(-20px);

    opacity: 0;

  }

}

.heart {

  position: fixed;

  width: 30px;

  height: 30px;

  background-image: url('../assets/heart.png');

  background-size: contain;

  background-repeat: no-repeat;

  animation: flyHeart 1s ease-out;

}

document.querySelector('.like-btn').addEventListener('click', function(e) {

  const heart = document.createElement('div');

  heart.className = 'heart';

  heart.style.left = e.clientX + 'px';

  heart.style.top = e.clientY + 'px';

  document.body.appendChild(heart);

  setTimeout(() => {

    heart.remove();

  }, 1000);

});

（二）触摸事件优化

在移动设备上，触摸事件的响应速度直接影响用户体验。抖音 H5 通过精准控制触摸事件的捕获和冒泡阶段，减少了延迟。以下是一个优化触摸事件的示例：

const touchStartHandler = (e) => {

  e.preventDefault(); // 防止页面滚动干扰

  // 处理触摸开始逻辑

};



const touchMoveHandler = (e) => {

  // 处理触摸移动逻辑

};



const touchEndHandler = (e) => {

  // 处理触摸结束逻辑

};



const element = document.querySelector('.scrollable-container');

element.addEventListener('touchstart', touchStartHandler, { passive: false });

element.addEventListener('touchmove', touchMoveHandler, { passive: false });

element.addEventListener('touchend', touchEndHandler);

四、音频处理：让声音为 H5 增色

抖音 H5 的音频体验也很讲究。它会根据用户的操作实时调整音量，甚至在不同视频切换时平滑过渡音频。以下是一个简单的声音控制示例：

const audioContext = new (window.AudioContext || window.webkitAudioContext)();

const audioElement = document.querySelector('audio');

const audioSource = audioContext.createMediaElementSource(audioElement);

const gainNode = audioContext.createGain();

audioSource.connect(gainNode);

gainNode.connect(audioContext.destination);



// 调节音量

function setVolume(level) {

  gainNode.gain.value = level;

}



// 音频淡入效果

function fadeInAudio() {

  gainNode.gain.setValueAtTime(0, audioContext.currentTime);

  gainNode.gain.linearRampToValueAtTime(1, audioContext.currentTime + 1);

}



// 音频淡出效果

function fadeOutAudio() {

  gainNode.gain.linearRampToValueAtTime(0, audioContext.currentTime + 1);

}

五、跨浏览器兼容：让 H5 无处不在

抖音 H5 能在各种浏览器上保持一致的体验，这离不开前端开发者的兼容性优化。常用的手段包括使用 Autoprefixer 自动生成浏览器前缀、为老浏览器提供 Polyfill 等。以下是一个为 CSS 动画添加前缀的示例：

const autoprefixer = require('autoprefixer');

const postcss = require('postcss');



const css = '.example { animation: slidein 2s; } @keyframes slidein { from { transform: translateX(0); } to { transform: translateX(100px); } }';



postcss([autoprefixer]).process(css).then(result => {

  console.log(result.css);

  /*

   输出：

   .example {

     animation: slidein 2s;

   }

   @keyframes slidein {

     from {

       -webkit-transform: translateX(0);

              transform: translateX(0);

     }

     to {

       -webkit-transform: translateX(100px);

              transform: translateX(100px);

     }

   }

  */

});

打造一个像抖音一样的流畅 H5，需要前端开发者在性能优化、交互设计、音频处理和跨浏览器兼容等方面全方位发力。希望这些技术点能为你的 H5 开发之旅提供助力，让你的产品在激烈的市场竞争中脱颖而出！

大多数前端开发者在公司里，很少需要直接操心“部署”这件事——那通常是运维或 DevOps 的工作。

但一旦回到个人项目，情况就完全不一样了。写个小博客、搭个文档站，或者搞个 demo 想给朋友看，部署往往成了最大的拦路虎。

常见的选择无非是 Vercel、Netlify 或 GitHub Pages。它们表面上“一键部署”，但细节其实并不轻松：要注册平台账号、要配置域名，还得接受平台的各种限制。国内的一些云服务商（比如阿里云、腾讯云）管控更严格，操作门槛也更高。更让人担心的是，一旦平台宕机，或者因为地区网络问题导致访问不稳定，你的项目可能随时“消失”在用户面前。虽然这种情况不常见，但始终让人心里不踏实。

很多时候，我们只是想快速上线一个小页面，不想被部署流程拖累，有没有更好的方法？

一个更轻的办法

前段时间我发现了一个开源工具 PinMe，主打的就是“极简部署”。

它的使用体验非常直接：

• 不需要服务器


• 不用注册账号


• 在项目目录敲一条命令，就能把项目打包上传到 IPFS 网络


• 很快，你就能拿到一个可访问的地址

实际用起来的感受就是一个字：爽。

整个过程几乎没有繁琐配置，不需要绑定平台账号，也不用担心流量限制或收费。

这让很多场景变得顺手：

• 临时展示一个 demo，不必折腾服务器


• 写了个静态博客，不想搞 CI/CD 流程


• 做了个活动页或 landing page，随时上线就好

以前这些需求可能要纠结“用 GitHub Pages 还是 Vercel”，现在有了 PinMe，直接一键上链就行。

体验一把

接下来看看它在真实场景下的表现：部署流程有多简化？访问速度如何？和传统方案相比有没有优势？

测试项目

为了覆盖不同体量的场景，这次我选了俩类项目来测试：

• 小型项目：fuwari（开源的个人博客项目），打包体积约 4 MB。


• 中大型项目：Soybean Admin（开源的后台管理系统），打包体积约 15 MB。

部署项目

PinMe 提供了两种方式：命令行 和 可视化界面。

这两种方式我们都来试一下。

命令行部署

先全局安装：

npm install -g pinme

然后一条命令上传：

pinme upload <folder/file-path>

比如上传 Soybean Admin，文件大小 15MB：

输入命令之后，等着就可以了：

只用了两分钟，终端返回的 URL 就能直接访问项目的控制页面。还能绑定自己的域名：

点击网站链接就可以看到已经部署好的项目，访问速度还是挺快的：

同样地，上传个人博客也是一样的流程。

部署完成：

可视化部署

不习惯命令行？PinMe 也提供了网页上传，进度条实时显示：

部署完成后会自动进入管理页面：

经过测试，部署速度和命令行几乎一致。

其他功能

历时记录

部署过的网站都能在主页的 History 查看：

历史部署记录：

也可以用命令行：

pinme list

历史部署记录：

删除网站

如果不再需要某个项目，执行以下命令即可：

pinme rm

PinMe 背后的“硬核支撑”

如果只看表层，PinMe 就像一个极简的托管工具。但要理解它为什么能做到“不依赖平台”，还得看看它背后的底层逻辑。

PinMe 的底层依赖 IPFS，这是一个去中心化的分布式文件系统。

要理解它的意义，得先聊聊“去中心化”这个概念。

传统互联网是中心化的：你访问一个网站时，浏览器会通过 DNS 找到某台服务器，然后从这台服务器获取内容。这条链路依赖强烈，一旦 DNS 被劫持、服务器宕机、服务商下线，网站就无法访问。

去中心化的思路完全不同：

• 数据不是放在单一服务器，而是分布在全球节点中


• 访问不依赖“位置”，而是通过内容哈希来检索


• 只要有节点存储这份内容，就能访问到，不怕单点故障

这意味着：

• 更稳定：即使部分节点宕机，内容依然能从其他节点获取。


• 防篡改：文件哪怕改动一个字节，对应的 CID 也会完全不同，从机制上保障了前端资源的完整性和安全性。


• 更自由：不再受制于中心化平台，文件真正由用户自己掌控。

当然，IPFS 地址（哈希）太长，不适合直接记忆和分享。这时候就需要 ENS（Ethereum Name Service）。它和 DNS 类似，但记录存储在以太坊区块链上，不可能被篡改。比如你可以把 myblog.eth 指向某个 IPFS 哈希，别人只要输入 ENS 域名就能访问，不依赖传统 DNS，自然也不会被劫持。

换句话说：

ENS + IPFS = 内容去中心化 + 域名去中心化

前端个人项目瞬间就有了更高的自由度和安全性。

一点初步感受

PinMe 并不是要取代 Vercel 这类成熟平台，但它带来了一种新的选择：更简单、更自由、更去中心化。

如果你只是想快速上线一个小项目，或者对去中心化部署感兴趣，PinMe 值得一试。

• 官网：pinme.eth.limo/


• Github：github.com/glitternetw…

这是一个完全开源的项目，开发团队也会持续更新。如果你在测试过程中有想法或需求，不妨去 GitHub 提个 Issue —— 这不仅能帮助项目成长，也能让它更贴近前端开发的实际使用场景！

这两天，科技圈的又一个重磅新闻相信不少同学都刷到了。

那就是 77 岁的计算机科学家，图灵奖+诺贝尔奖双奖得主，同时也是享誉全球的人工智能专家 Geoffrey Hint0n（杰弗里・辛顿）首次来到了中国，参加了在上海举办的 2025 世界人工智能大会（WAIC 2025）并上台进行了演讲。

上一次 Hint0n 站在聚光灯下是去年 10 月份，彼时 76 岁的 Hint0n 刚刚和 John J. Hopfield 一起，拿到了 2024 年的诺贝尔物理学奖，以表彰他们通过人工神经网络实现机器学习的奠基性发现和研究。

提到 Hint0n 这个名字，相信对于很多学习和从事人工智能工作的同学来说，应该都非常熟悉了。

Hint0n 是一位享誉全球的人工智能专家，被誉为“神经网络之父”、“深度学习的鼻祖”、“人工智能教父”等等，也是这个领域最受尊崇的泰斗之一。

7 年前，Hint0n 曾拿下过 2018 年度图灵奖。

如此一来，Hint0n 也成为了获得**「图灵奖+诺贝尔奖」的双奖得主**。

Hint0n 是学术界的传奇人物。

在当代人工智能爆发之前，Hint0n 曾经坐了几十年的学术冷板凳，而他所研究开发的神经网络算法则为后续人工智能的进一步发展奠定了基础。

大多人可能都是因为这几年大火的 AI 领域才了解的 Hint0n，但是看完他之前的人生经历，更可谓是颇具戏剧性。

1947 年，Geoffrey Hint0n 出生于英国温布尔登的一个学术世家，家庭里的很多成员都在学术和研究方面颇有造诣。

他的父亲 Howard Everest Hint0n 是一名研究甲壳虫的英国昆虫学家，而母亲 Margaret Clark 则是一名教师。

除此之外，他的高曾祖父 George Boole 还是著名的逻辑学家，也是现代计算科学基础布尔代数的发明人，而他的叔叔 Colin Clark 则是一位著名的经济学家。

当然，在这样的氛围下长大的 Hint0n，其成长压力也是可想而知的。

1970 年，23 岁的 Hint0n 获得了实验心理学的学士学位。

但是，令谁也没有想到的是，毕业后这位“学二代”由于找不到科研的意义，他竟然先跑去当了一段时间的木匠。

不过这个经历并没有帮助他消除自己的阶段性迷茫，他一直希望真正理解大脑的运作原理，渴望更深入的理论研究，于是经历过一番思想斗争后又下决心重返学术殿堂，投身于人工智能领域。

直到 1978 年，他终于获得了爱丁堡大学人工智能学博士学位，而此时的他也 31 岁了。

那个年代做深度学习的研究可以说是妥妥的冷板凳。

要知道当时的 AI 正值理论萌芽阶段，并且彼时的深度学习研究在很长一段时间里一直处于一个不温不火的状态，甚至好几次陷入寒冬，那 Hint0n 所主张和研究的深度学习派当然在当时也很难得到关注和认可。

那面对这一系列冷漠、质疑甚至反对，唯有纯粹的相信与热爱才能将这个领域深耕了数十年，直到坚持到后来 AI 时代的来临。

Hint0n 主要从事神经网络和机器学习的研究，在 AI 领域做出过许多重要贡献，其中最著名的当属他在神经网络领域所做的研究工作。

他在 20 世纪 80 年代就已经开启了反向传播算法（Back Propagation, BP 算法）的研究，并将其应用于神经网络模型的训练中。

这一算法被广泛应用于语音识别、图像识别和自然语言处理等领域。

除此之外，Hint0n 还在卷积神经网络（Convolutional Neural Networks，CNN）、深度置信网络（Deep Belief Networks，DBN）、递归神经网络（Recursive Neural Networks，RNN）以及胶囊网络（Capsule Network）等领域作出了重要贡献。

2013 年，Hint0n 加入 Google，同时把机器学习相关的很多技术带进了谷歌，并融合到谷歌的多项实际业务之中。

2019 年 3 月，ACM 公布了 2018 年度的图灵奖得主。

图灵奖大家都知道，是计算机领域的国际最高奖项，也被誉为“计算机界的诺贝尔奖”。

而 Hint0n 则与蒙特利尔大学计算机科学教授 Yoshua Bengio 和 Meta 首席 AI 科学家 Yann LeCun 一起因为研究神经网络而获得了该年度的图灵奖，以表彰他们在对应领域所做的杰出贡献。

除此之外，Hint0n 在他的学术生涯中发表了数百篇论文，这些论文中提出了许多重要的理论和方法，涵盖了人工智能、机器学习、神经网络、计算机视觉等多个领域。

而且他的论文被引用的次数也是惊人，这对于后续该领域的研究和发展都产生了重要的影响。

除了自身在 AI 领域的科研造诣很高，Hint0n 同时也是一名优秀的导师和指引者。

当年为了扩大深度学习的圈子，Hint0n 曾在多伦多大学成立过研究中心，专门接收有兴趣从事相关研究的年轻人，以至于现如今 AI 大佬圈子的“半壁江山”都是 Hint0n 的“门生”。

Hint0n 带过很多大牛学生，其中不少都被像苹果、Google 等这类硅谷科技巨头所挖走，在对应的公司里领导着人工智能相关领域的研究。

这其中比较典型的就是 Ilya Sutskever，他既是 Hint0n 的学生，同时他也是大名鼎鼎的 OpenAI 公司的联合创始人与首席科学家。

在这次 WAIC 2025 开幕的前一天，一张全球顶级 AI 专家的合影在业内广为流传。

画面中聚集着包括姚期智先生等在内的多个全球顶级 AI 专家。

不过大家可能也注意到了，在画面的最后一排，还独自站立着一位身材高挑的白发老人。

没错，这个人正是 77 岁的 Hint0n。

画面中 Hint0n 之所以选择站立合影，不是为了秀身高，而是因为 Hint0n 患有腰椎疾病。

1947 年出生的辛顿，年轻时就曾落下腰伤顽疾，随着年龄的增大，这让他无法像正常人那样轻松地坐下，而是习惯于尽量站立，所以这也是为什么大家能看到的 Hint0n 能站着的情况就不会坐着，而即便是坐，Hint0n 的坐姿也非常奇怪。

听 Hint0n 身边的人说，Hint0n 到哪里总是会随身带个垫子，目的也是为了应对多年的腰疾。

不过从这次 Hint0n 来中国参加 WAIC 2025 的全过程来看，老爷子的精神状态还算挺不错。

学术冷板凳 30 年，从谷歌离职时 75 岁，回看 Hint0n 老爷子的奋斗过往，的确非常传奇。

如今 AI 技术的发展巨轮还在滚滚向前，而这些人工智能领域的泰斗们所打下的基础也将继续成为人工智能研究者们心中的图腾，从而激发出更多的进化与创新。

注：本文在GitHub开源仓库「编程之路」 github.com/rd2coding/R… 中已经收录，里面有我整理的6大编程方向(岗位)的自学路线+知识点大梳理、面试考点、我的简历、几本硬核pdf笔记，以及程序员生活和感悟，欢迎star。

最近 iOS 推送了新的系统更新：

其实这个更新早在几个月前的 WWDC 上就开始宣传了：

仔细看苹果 Logo，有种磨砂玻璃的质感对吧？因为他们宣传的 iOS26 主题就是液态玻璃：

为什么直接从 iOS18 跳到 26 呢？这跟咱们前端的 ES 命名有点像：

• ES5


• ES5.1


• ES2015(ES6)


• ES2016


• ES2017


• ES2018


• ES2019


• ES2020


• ES2021


• ES2022


• ES2023


• ES2024


• ES2025


• ES2026

苹果也打算用年份来命名版本，每年都推陈出新一个版本，但叫 iOS2026 有点太长了，于是省略掉前面的 20 就变成了 iOS26。

这个液态玻璃有人觉得好看也有人觉得难看，毕竟一百个读者就有哈姆雷特嘛！我们公司的产品经理觉得好看，它就想让我们也学苹果搞个这样的主题。头都大了，先给大家看看我们以前的界面：

我们面向的是海外用户，所以界面都是英文，有人可能会问那为什么不去欧美开公司呢？我们确实有欧美的分部，但负责的是运营，而开发基本上都在中国招人，因为国内的牛马实在是太好用了😭

既便宜又耐用，而且还能无偿加班，在欧美你搞这套试试？扯远了哈！咱们来看下液态玻璃之后的界面：

当然这几个图标还没换成透明的，他们想先看看效果再决定用不用开发液态玻璃主题。由于背景是白色的，所以它们认为这个液态玻璃有点与界面融为一体了，于是我们给它加了点淡蓝色：

那么具体到底是怎么实现的呢？实现是不可能自己实现的，因为这个效果可不是常规效果，我们一开始搜了一下液态玻璃的实现，结果您猜怎么着：

这是液态玻璃么？这只是个很普通的毛玻璃吧？评论区也都这么说：

人家液态玻璃的重点是边缘部分，以我们日常生活中常见的烧水壶来举例：

大家也可以拿自己的烧水壶试试，可以看到越靠近边缘，玻璃后面的图案变形就越严重，而且最边缘还会有倒影，除了变形以外还会有色散：

所以这个效果实现起来还是挺复杂的，感觉是需要计算机图形学知识的，幸好最终在网上找到了符合需求的液态玻璃效果：

这个效果是由 Three.js 实现的，传送门：

reactbits.dev

通过域名大家也能看出来，这是用 React 实现的，但我们公司用的是 Vue。可能有人会说这就是个特效，无论用 React 还是用 Vue 不都一样么？你就不能给它用 Vue 的语法翻译过来么？毕竟 Three.js 又不挑框架，但 React Three 挑框架啊：

这个 Demo 大量的使用了 @react-three：

我总不能再仿照 @react-three 写个 @vue-three 出来吧？那 vue 生态里就没有 @vue-three 吗？有是有，但都不太靠谱：

那你不会直接用 Three.js 写？@react-three 不也就是层封装么？

还真就不会直接用 Three.js 写，因为以前压根就没用过，想要搞懂 @react-three 那些封装的话必然要去看源码，而且最好是有一定的 Three.js 基础才能看明白。这个 React Bits 的作者还出了个 Vue 版的，Vue 版直接砍掉了这个 Three.js 版的液态玻璃：

vue-bits.dev

也就是说就连原作者都没法直接用 Three.js 去实现，当然也可能不是他无法实现 Vue 版的，而是脱离了 @react-three 去实现的话很麻烦之类的原因，总之就是原作者并未实现 Vue 版的。他实现起来都费劲呢，更别提我们这种压根就不会 Three 的人了。

而且产品希望这个液态玻璃只是个锦上添花的效果，不希望为了这个主题而引入 Three.js 从而导致页面变大变慢，所以 Three.js 这个方案被放弃。幸好这个 React Bits 还有个 SVG 版的，而且 SVG 版的还有 Vue 版实现：

但其实还是更喜欢 Three.js 那版，我也说不上来 SVG 版的哪不好，但确实看起来好像没 Three.js 版的好看：

不过好在 SVG 版不需要任何依赖就能够实现，非常的轻量化，在这里分享给大家：

传送门：vue-bits.dev/components/…

希望能够帮助到有需要的人，毕竟国内想模仿苹果的公司还挺多的，比方说某个把自己手机叫 17 Pro Max 的粮食公司：

往期精彩文章

• 《无虚拟dom怎么又流行起来了？》


• 《尤雨溪: 我们没有放弃虚拟 DOM》


• 《面试题开始更新换代：该问无虚拟 DOM 了》


• 《无虚拟DOM到底能快多少？》


• 《尤雨溪：从 Vue1 到 Vue3.6》


• 《无虚拟DOM版 Vue 为什么叫 Vapor？》

从“版本号打架”到 30 秒内提醒用户刷新：一个微前端团队的实践

1. 背景与痛点

我们团队维护着一个微前端子应用集群，每个子应用都需要同时服务 dev / test / release / online 多套环境。分支策略（master / release / test / dev / hotfix / feature_x.x.x）加上 Jenkins 自动化，让“一天多次发布”成为常态。但真正影响交付效率的并不是发布次数，而是一个顽固的问题：测试同学常年停留在旧版本页面。

1.1 真实场景

• 测试在早上打开 dev 页面，下午我们发布了新的组件样式；
• 他们继续在旧页面里回归，反馈的问题我们一眼看出“这是老版本”；
• 群里喊“刷新一下”并不靠谱，于是“无效缺陷 + 反复沟通”成了常态。

更严重的一次事故，是我们在版本检查逻辑里同时使用了 webpack DefinePlugin 与自定义插件，各自调用了一次 getAppVersion()。结果前端控制台打印的是 0.8.3-release-202511210828，而 version.json 里是 0.8.3-release-202511210829。两边只差 1 秒钟，却让线上用户始终被提示刷新，形象地被团队称为“版本号打架”。

1.2 我们的诉求

0. 用户在 30 秒内感知版本更新；
1. 弹窗里能看到“当前版本 / 最新版本 / 环境”；
2. 支持“立即刷新 / 稍后再说”，不给用户造成中断；
3. 方案需兼容现有微前端架构与 CI/CD 流程，不依赖后端改造。

2. 方案探索与取舍

在动手前，我们列出几种可行方式：

方案	实现复杂度	实时性	依赖	适配场景	关键优缺点
纯前端轮询 version.json	低	中（30s）	前端 + Nginx	多环境微前端	成本最低；轻微网络开销
Service Worker/PWA	中	较高	现代浏览器	PWA 应用	缓存控制好，但改造量大
WebSocket 推送	高	最高	后端服务	强实时场景	需要额外服务端开发
后端接口统一管理	中	中	前后端	版本集中管理	带来跨团队耦合

综合团队资源与落地速度，我们选择了 纯前端轮询 + 静态版本文件 的做法，并明确两个原则：

• 版本号唯一，可追溯：基础版本号-环境-时间戳；
• 发布零侵入：Jenkins 仍旧运行 npm run build-xxx，无需新增步骤。

3. 技术方案总览

0. 构建阶段生成 version.json：在 vue.config.js 中提前计算版本号，既注入到前端（process.env.APP_VERSION），也写入输出目录的 version.json；
1. 前端轮询比对：应用启动后每 30 秒请求一次 version.json，禁用缓存并携带时间戳，比较版本号；
2. 交互提示：复用 Ant Design Vue 的 Modal.confirm，展示当前/最新版本与环境；
3. 缓存策略：Nginx 对 HTML/version.json 禁止缓存，对 JS/CSS/图片继续长缓存；
4. CI/CD 配合：所有环境沿用既有脚本，只是构建产物目录多了一份实时的 version.json。

4. 关键落地细节

4.1 版本号只生成一次（Build-time Deterministic Versioning）

vue.config.js 抽象 buildEnvName、buildVersion，并在 DefinePlugin 与生成 version.json 时复用：

const buildEnvName = getEnvName();

const buildVersion = getAppVersion();



module.exports = {

  configureWebpack: {

    plugins: [

      new webpack.DefinePlugin({

        "process.env.APP_VERSION": JSON.stringify(buildVersion),

        "process.env.APP_ENV": JSON.stringify(buildEnvName),

      }),

    ],

  },

  chainWebpack(config) {

    config.plugin("generate-version-json").use({

      apply(compiler) {

        compiler.hooks.done.tap("GenerateVersionJsonPlugin", () => {

          fs.writeFileSync(

            path.resolve(__dirname, "edu/version.json"),

            JSON.stringify(

              {

                version: buildVersion,

                env: buildEnvName,

                timestamp: new Date().toISOString(),

                publicPath: "/child/edu",

              },

              null,

              2

            )

          );

        });

      },

    });

  },

};

这样即使构建过程持续 5～10 分钟，注入的版本号和静态文件里的版本仍保持一致。这其实是把“构建产物视为不可变工件”的原则落地——保证任何使用该工件的入口看到的元数据都是同一个快照。

4.2 版本检查器（Runtime Polling & Cache Busting）

class VersionChecker {

  currentVersion = process.env.APP_VERSION;

  publicPath = "/child/edu";

  checkInterval = 30 * 1000;



  init() {

    console.log(`📌 当前前端版本：${this.currentVersion}（${process.env.APP_ENV}）`);

    this.startChecking();

    document.addEventListener("visibilitychange", () => {

      if (document.visibilityState === "visible" && !this.hasNotified) {

        this.checkForUpdate();

      }

    });

  }



  async checkForUpdate() {

    const url = `${this.publicPath}/version.json?t=${Date.now()}`;

    const response = await fetch(url, { cache: "no-store" });

    if (!response.ok) return;

    const latestInfo = await response.json();

    if (latestInfo.version !== this.currentVersion && !this.hasNotified) {

      this.hasNotified = true;

      this.stopChecking();

      this.showUpdateModal(latestInfo.version, latestInfo.env);

    }

  }

}

这里有两个容易被忽略的细节：

0. fetch 显式加 cache: "no-store"，再叠加时间戳参数，防止 CDN / 浏览器任何一层干预；
1. visibilitychange 监听，保证窗口重新激活时立即比对，避免用户在后台等了很久才看到弹窗。

入口 main.ts 在应用 mount 之后调用 versionChecker.init()，即可把整个检测链路串起来。

4.3 Nginx 缓存策略（Precise Cache Partition）

location / {

    if ($request_filename ~* .html$) {

        add_header Cache-Control "no-store, no-cache, must-revalidate";

    }

}



location /child/edu {

    if ($request_filename ~* .html$) {

        add_header Cache-Control "no-store, no-cache, must-revalidate";

    }

}



location ~* /child/edu/version.json$ {

    add_header Cache-Control "no-store, no-cache, must-revalidate, proxy-revalidate";

    add_header Pragma "no-cache";

    add_header Expires "0";

    add_header Surrogate-Control "no-store";

}

这一层的思路是把资源分成两类：需要实时性（HTML、version.json）就 no-store，其余走长缓存。再配合 try_files 兜底 history 路由，微前端子应用的独立部署不会互相影响。

4.4 CI/CD 配置（Zero-touch Pipeline）

环境	构建命令	输出路径	说明
develop	npm run build-develop	/child/edu	日常开发验证
testing	npm run build-testing	/child/edu	集成测试
release	npm run build-release	/child/edu	预发布
production	npm run build-production	/child/edu	线上

所有命令都带 cross-env NODE_OPTIONS=--openssl-legacy-provider，以兼容不同系统的 OpenSSL 版本。更重要的是，这套方案没有“要求运维多做一步”——构建产物天然携带 version.json，任何环境拿到包即可上线。

5. 测试与验证

我们定义了一个完整的回归流程，确保方案不会给测试和上线带来额外负担：

0. 首次访问：打开 dev 环境页面，确认控制台打印版本号，Network 里能看到 version.json 且响应头无缓存；
1. 触发新版本：调整任意文案，重新发布，保持旧页面不刷新；
2. 轮询验证：30 秒内弹出提示框，展示当前/最新版本和环境；
3. 交互路径：
   • 点击“立即刷新”：页面强制 reload，新版本生效；
   • 点击“稍后刷新”：记录取消动作并重新开启轮询；
4. 边界场景：切 tab / 清缓存 / 新设备访问 / 短时间连续发布，均能正确感知最新版本。

6. 注意事项与常见问题

现象	可能原因	解决方案
没有弹窗	version.json 404 或版本未变	检查部署路径、确认构建是否生成文件
弹窗后刷新仍旧版本	静态资源被缓存	核实 Nginx 缓存策略、查看浏览器缓存设置
构建失败	cross-env 未安装或权限不足	补充依赖、确保 Jenkins 工作目录可写
持续误报更新	构建阶段多次生成版本号	在 vue.config.js 顶部缓存 buildVersion 并全局复用

7. 落地成效

• 旧页面用户在 30 秒内收到提醒，测试效率显著提升；
• “幽灵弹窗”彻底消失，版本对比逻辑稳定；
• 方案只触碰前端与 Nginx 配置，发布流程无需改造；
• 文档化后，其他子应用无需重复思考，直接复用。

8. 展望

下一步我们计划：

0. 封装通用 SDK：抽象版本生成、轮询、弹窗逻辑，支持 Vue CLI / Vite；
1. 可视化版本面板：在主应用汇总所有环境的版本和发布时间；
2. 差异化策略：针对高优先级版本强制刷新，普通版本允许用户自行选择。

---

这次实践让我再次意识到：真正的坑往往藏在看似“微不足道”的细节里。当我们把问题和思考写成文档、沉淀成模板，团队就能以更小的代价获得更稳定的交付。如果你也在推进微前端版本同步，欢迎交流、互相借鉴。

作者：鹏北海
来源：juejin.cn/post/7575006095389605897

事件交代

前两周，女朋友去了开封玩一趟，回来后不久，她微信上和我吐槽了一件糟心事：由于她在两个平台都购了票，后面行程太赶，忘记在其中一个平台退票，导致现在无法退票

由于广州很多景点买票是要选择具体日期的（例如白云山、陈家祠），所以我以为她可能就是在抖音、美团买了同一天的两张票，后面忘记退掉抖音的票，导致现在票逾期，无法退款

但我还是想的太简单了，如果仅此而已，大家就不会看到这篇小破文

深入了解

随着我深入了解，才发现开封景区的购票大有不同，以下是我了解到的开封景区购票方式：

1️⃣ 你去哪个景点就买哪个景点的票，这种模式只适合去单个景区游玩，但开封景区特别多，这样买特别亏

2️⃣ 购买景区联票，开封这边景区基本是相互合作的，例如他们会出2个、4个、6个等的景区联票套餐，我女朋友就是先在抖音购买了4景区联票，后面她朋友又发现美团有6景区联票，玩起来更划算，所以才会出现了买两个平台的票的情况

抖音4景区联票：

美团6景区联票：

抖音4景区联票包含：万岁山武侠城+翰园碑林+开封城墙+铁塔公园

美团6景区联票包含：万岁山武侠城+翰园碑林+开封城墙+铁塔公园+龙亭景区+天波杨府

其中，美团的6景区联票中，龙亭景区和天波杨府是抖音4景区联票中没有的，这两个信息特别关键

其次还有两个关键信息：

（1）平台承诺随时退：票虽然有使用截止日期，但在截止日期之前，是可以申请退款，如果截止日期仍未使用，系统自动退款

（2）女友的两个平台订单状态皆为已使用

那我开头揣测是票逾期，无法退款的情况就是错误的，既然如此，是什么情况导致了两个订单都为已使用呢？

逐层分析

我原本以为景区的核销订单模式会是：订单生成一个二维码，进入景区时有个机器扫描

如此一来，就可以精准锁定平台的订单核销，但我再次猜错了。女友和我说开封这边的景区都是使用了人脸识别技术，购票时只需要录入身-份-证号，到景区就能人脸识别进入了。

到这里事情已经逐渐清晰了，于是，我尝试站在一名程序员的角度来分析景区的核销流程

• 第一步：识别用户身份

• 第二步：识别用户身份成功，分析该用户是否在合作平台购买过相关景区票

• 第三步：核销平台订单，也是最复杂的一步，因为该环节存在多种情况

1️⃣：该用户在一个平台购买了一个景区的票，这种情况最容易，用户进景区后，票务系统直接核销平台订单，核销完成平台的钱就流向票务系统；

2️⃣：该用户在一个平台购买了联合景区的票，此时锁定该票，等到用户玩完最后一个景区后，才核销订单；有人可能会存在疑惑，为什么不是玩第一个景区时就进行订单核销，而是等玩完全部景区才触发核销？这就涉及到多个平台卖票的问题，程序设计需要兼容多个平台：假设你在抖音购买了两景区联合票：万岁山+铁塔公园，在美团购买了两景区联合票：万岁山+开封城墙，你先去了万岁山，此时如果游玩第一个景区就要核销订单的话，该核销哪个平台的订单？是不是没法核销了，只有等第二个景区玩完你才知道要核销哪个平台的订单；但即使如此，也存在一种情况，就是用户只玩了一个景区，其他景区不去玩。我猜这种特殊情况下，该票就一直处于锁定未核销的状态，直到订单时间逾期，才自动核销

3️⃣：该用户在多个平台购买了一个景区的票，说实在这种情况属实矛盾，但作为一名程序员，还是得给解，我猜很有可能是以时间优先来核销订单的，也就是先在哪个平台下单，就先核销该平台的订单，毕竟用户肯定是希望核销日期更早的一张票

4️⃣：该用户在多个平台购买了联合景区的票，而我女朋友的情况就属于这一种情况，按理说这种情况也挺好解，还记得我前面提到的龙亭景区、天波杨府吗？这两个景区是抖音平台4景区联票套餐中不包含的，而美团平台6景区联票中包含的，也就是说我女朋友她们去了其中一个，就可判断出核销美团平台的订单

但巧妙又凑合的一点就是她们的游玩路线居然是：万岁山武侠城->翰园碑林->开封城墙->铁塔公园->天波杨府->龙亭景区，恰巧把两个特殊的景区放在了最后游玩

当游玩万岁山武侠城->翰园碑林->开封城墙->铁塔公园时，对于抖音平台的订单来说，已经是满足触发核销的条件，我知道此时同为聪明程序员的你也会大有疑问🤔：美团平台的订单同样存在这4个景区，不应该直接就核销抖音平台的订单。

还记得情况3吗？也就是用户在多个平台购买了一个景区票的情况，我猜测的是票务系统以时间优先来核销不同平台的订单，再看看我开头贴出来的聊天记录，我女朋友也说了：先购买抖音的4景区联票，后购买美团的6景区联票

故此，以时间优先来核销的话，程序先核销抖音平台的订单确实没问题，当她们开心地继续畅玩天波杨府->龙亭景区时，却不知又触发了新一轮美团的订单锁单，待玩完这俩景区后，剩余的景点没玩，以至于三天逾期后自动核销订单，这也佐证了情况2里的猜测

复盘总结

后续打电话跟抖音平台核实了相关的情况，顺利完成了退票退款流程。女朋友还在一旁跟我聊着整个出行的趣事，但此时我满脑子都是在想着怎么修复票务系统中的bug🐛

一开始想的方案解决方案很粗暴：就是让景区提供一个特殊通道，用户可以通过打开二维码来核销平台订单，但这种也预防不了用户通过人脸识别进入的情况

后面想了一个从根本上解决的方案：用户人脸识别，检测到存在多个平台订单时，需要提示用户选择指定平台的订单进行核销，这样就可以彻底预防多个平台重复核销的情况了

今天的分享就到此结束，如果你对技术/行业交流有兴趣，欢迎添加howcoder微信，邀你进群交流

往期精彩

《这次终于轮到前端给后端兜底了🤣》

《你不了解的Grid布局》

《就你小子还不会 Grid布局是吧？》

《超硬核：从零到一部署指南》

《私活2年，我赚到了人生的第一桶金》

1. 前言

在循环中使用 await，代码看似直观，但运行时要么悄无声息地停止，要么运行速度缓慢，这是为什么呢？

本篇聊聊 JavaScript 中的异步循环问题。

2. 踩坑 1：for 循环里用 await，效率太低

假设要逐个获取用户数据，可能会这样写：

const users = [1, 2, 3];

for (const id of users) {

  const user = await fetchUser(id);

  console.log(user);

}

代码虽然能运行，但会顺序执行——必须等 fetchUser(1) 完成，fetchUser(2) 才会开始。若业务要求严格按顺序执行，这样写没问题；但如果请求之间相互独立，这种写法就太浪费时间了。

3. 踩坑 2：map 里直接用 await，拿到的全是 Promise

很多人会在 map() 里用 await，却未处理返回的 Promise，结果踩了坑：

const users = [1, 2, 3];

const results = users.map(async (id) => {

  const user = await fetchUser(id);

  return user;

});

console.log(results); // 输出 [Promise, Promise, Promise]，而非实际用户数据

语法上没问题，但它不会等 Promise resolve。若想让请求并行执行并获取最终结果，需用 Promise.all()：

const results = await Promise.all(users.map((id) => fetchUser(id)));

这样所有请求会同时发起，results 中就是真正的用户数据了。

4. 踩坑 3：Promise.all 一错全错

用 Promise.all() 时，只要有一个请求失败，整个操作就会报错：

const results = await Promise.all(

  users.map((id) => fetchUser(id)) // 假设 fetchUser(2) 出错

);

如果 fetchUser(2) 返回 404 或网络错误，Promise.all() 会直接 reject，即便其他请求成功，也拿不到任何结果。

5. 更安全的替代方案

5.1. 用 Promise.allSettled()，保留所有结果

使用 Promise.allSettled()，即便部分请求失败，也能拿到所有结果，之后可手动判断成功与否：

const results = await Promise.allSettled(users.map((id) => fetchUser(id)));



results.forEach((result) => {

  if (result.status === "fulfilled") {

    console.log("✅ 用户数据:", result.value);

  } else {

    console.warn("❌ 错误:", result.reason);

  }

});

5.2. 在 map 里加 try/catch，返回兜底值

也可在请求时直接捕获错误，给失败的请求返回默认值：

const results = await Promise.all(

  users.map(async (id) => {

    try {

      return await fetchUser(id);

    } catch (err) {

      console.error(`获取用户${id}失败`, err);

      return { id, name: "未知用户" }; // 兜底数据

    }

  })

);

这样还能避免 “unhandled promise rejections” 错误——在 Node.js 严格环境下，该错误可能导致程序崩溃。

6. 现代异步循环方案，按需选择

6.1. for...of + await：适合需顺序执行的场景

若下一个请求依赖上一个的结果，或需遵守 API 的频率限制，可采用此方案：

// 在 async 函数内

for (const id of users) {

  const user = await fetchUser(id);

  console.log(user);

}

// 不在 async 函数内，用立即执行函数

(async () => {

  for (const id of users) {

    const user = await fetchUser(id);

    console.log(user);

  }

})();

• 优点：保证顺序，支持限流


• 缺点：独立请求场景下速度慢

6.2. Promise.all + map：适合追求速度的场景

请求间相互独立且可同时执行时，此方案效率最高：

const usersData = await Promise.all(users.map((id) => fetchUser(id)));

• 优点：网络请求、CPU 独立任务场景下速度快


• 缺点：一个请求失败会导致整体失败（需手动处理错误）

6.3. 限流并行：用 p-limit 控制并发数

若需兼顾速度与 API 限制，可借助 p-limit 等工具控制同时发起的请求数量：

import pLimit from "p-limit";

const limit = pLimit(2); // 每次同时发起 2 个请求

const limitedFetches = users.map((id) => limit(() => fetchUser(id)));

const results = await Promise.all(limitedFetches);

• 优点：平衡并发和控制，避免压垮外部服务


• 缺点：需额外引入依赖

7. 注意：千万别在 forEach() 里用 await

这是个高频陷阱：

users.forEach(async (id) => {

  const user = await fetchUser(id);

  console.log(user); // ❌ 不会等待执行完成

});

forEach() 不会等待异步回调，请求会在后台乱序执行，可能导致代码逻辑出错、错误被遗漏。

替代方案：

• 顺序执行：用 for...of + await


• 并行执行：用 Promise.all() + map()

8. 总结：按需选择

JavaScript 异步能力很强，但循环里用 await 要“按需选择”，核心原则如下：

9. 参考链接

1) border 会改变布局（占据空间）

border 会参与盒模型，增加元素尺寸。

例如，一个宽度 200px 的元素加上 border: 1px solid #000，实际宽度会变成：

200 + 1px(left) + 1px(right) = 202px

如果不想影响布局，就很麻烦。

使用 box-shadow: 0 0 0 1px #000不会改变大小，看起来像 border，但不占空间。

2) border 在高 DPI 设备上容易出现“模糊/不齐”

特别是 0.5px border（发丝线），在某些浏览器上有锯齿、断线。

transform: scale(0.5) 或伪元素能做更稳定的发丝线。

3) border 圆角 + 发丝线 常出现不规则效果

border + border-radius 在不同浏览器的渲染不一致，容易出现不均匀、颜色不一致的问题。

用 outline / box-shadow 圆角更稳定。

4) border 不适合做阴影/多层边框

如果你需要两层边框：

双层边框用 border 很难做

而用：

box-shadow: 0 0 0 1px #333, 0 0 0 2px #999;

非常简单。

5) border 和背景裁剪一起用时容易出 bug

比如 background-clip、overflow: hidden 配合 border 会出现背景被挤压、不应该被裁剪却裁剪等问题。

6) hover/active 等状态切换时会“跳动”

因为 border 会改变元素大小。

例子：

.btn { border: 0; }

.btn:hover { border: 1px solid #000; }

鼠标移上去会抖动，因为尺寸变大了。

用 box-shadow 的话就不会跳。

总结

边框可以分别使用border、outline、box-shadow三种方式去实现，其中outline、box-shadow不会像border一样占据空间。而box-shadow可以用来解决两个元素相邻时边框变宽的问题。不使用border并不是因为它不好，而是因为outline和box-shadow的兼容性和灵活性相对border会更好一点。

大家好，我是不如摸鱼去，欢迎来到我的 AI 编程分享专栏。

去年，「老乡鸡不装了，直接开源」的消息引发了广泛的关注。我也纳闷，老乡鸡不是做菜的吗，开的哪门子源？仔细看了下原来是把他们的菜品、溯源报告这些开源了。然后，GitHub 上这个叫「像老乡鸡那样做饭」的项目火了，如今 star 数量已经达到了 18k，这是它的地址：github.com/Gar-b-age/C… 。

作为一名爱做饭的程序员，面对如此诱人的开源资源，怎能袖手旁观？我选择用 Trae 快速构建了一个像老乡鸡那样做饭小程序！ 本文将分享我如何利用 Trae SOLO 的高效开发能力，把这份“开源美味”封装成便捷的小程序。

开源

像老乡鸡那样做饭小程序已开源，参见文章TRAE SOLO 正式发布了？我用它将像老乡鸡那样做饭小程序开源了！

实现效果

技术栈

我们开发前选择好开发的技术栈，这样 AI 可以在我们规划好的路线上进行开发，可以达到事半功倍的效果。

前端技术栈

因为我本身就是一个前端程序员，所以前端技术栈比较熟，直接选择常用的技术栈：

• 小程序的开发框架: uni-app


• 开发模板项目: wot-starter 地址: starter.wot-ui.cn/


• 组件库: wot-ui 地址: wot-ui.cn/

后端技术栈

服务端最好是可以免开发，于是我选择了 TRAE SOLO 集成的 Supabase 作为我们的云端服务。

Supabase 是一个开源的 Firebase 替代品，旨在帮助开发者快速构建后端功能。它基于 PostgreSQL 数据库，并提供实时订阅、身份验证、存储、边缘函数等功能，支持 REST 和 GraphQL API。Supabase 强调开源、可自托管，并提供免费起步的云端服务，适合构建现代 Web 和移动应用。

菜谱数据来源

我们的菜谱数据来自于开源项目「像老乡鸡那样做饭」，这是它的 GitHub 地址：github.com/Gar-b-age/C…

动手

我们选择好技术栈之后就可以开始开发，由于我们使用 Supabase 作为服务，所以后端开发无需操心，只需要让 Trae SOLO 来建表、处理数据就好了。

数据处理

我们将菜谱的 markdown 和相关图片放到了 cook-book 目录下，然后让 Trae SOLO 开始处理吧！

Trae SOLO 开始处理需求，生成 tasks 列表，并执行

不过它也不是一步到位了，我发现导入的数据有的配料字段是空的，有的步骤是空的，于是让它重新检查了下（后面我自己检查了下发现是部分菜谱的 markdown 文件的标题不对，这里我就自己处理了）。

最终，Trae SOLO 帮我将全部的菜谱数据处理完毕，并插入到 Supabase 的数据库中了，接近 200 道菜，足够每天吃一道了。

小结

“干净”的数据能达到事半功倍的效果，从上面纠错的过程可以印证这一点，在让 AI 处理前，花点时间做基础的数据清洗（统一文件命名规范、检查必要字段是否存在、清理异常字符）是非常值得的投入。

小程序开发

我们开发前，有一些准备工作，由于 wot-starter 中包含暗黑模式等相关的配置，我们本次暂不需要，故需要移除，以免干扰 AI 对项目的理解（这里我们要明确一个点，要尽量提供有用的语料给 AI，因为过大的上下文会导致它天马行空）。

我们向 Trae SOLO 提出以下需求，先实现一个简易版：

开发一个像老乡鸡那样做饭小程序，基于现有表结构实现以下核心功能：



1. 分类浏览功能：按照菜品分类展示菜谱列表



2. 首页推荐功能：在首页展示精选推荐的3-5个菜谱



3. 菜谱详情页：点击可查看完整菜谱信息



要求：



- 保持现有表结构不变



- 界面设计简洁直观



- 确保数据加载流畅



- 适配移动端显示



- 使用unocss编写样式，使用rpx做单位

经过一轮开发后，项目结构如下：

不过此时项目还是跑不起来的，控制台报错了，我们直接将控制台报错发送给 Trae SOLO。

解决之后，我们的小程序启动起来，效果就已经差不多达到了文章开头的样子了。

当然还有一些小问题，都可以让 Trae SOLO 来处理

后续完善

初版完成后，我们群里的好朋友 FliPPeDround 提醒我说，「像老乡鸡那样做饭」项目的 Github 上有 PR 提供了做菜的手绘流程图。那太好了，我们这就给加上。

首先还是让 Trae SOLO 将新增的手绘流程图上传到 Supabase 并将其地址插入到对应的菜谱中

然后在菜谱详情中展示手绘流程图

效果如图，配上流程图，清晰又美观。

总结

我们今天几乎零代码 用 Trae SOLO 实现了「像老乡鸡那样做饭」小程序，过程中这三个规则让我们事半功倍：

• 保持数据干净：“干净”的数据能达到事半功倍的效果，上面处理数据时纠错的过程可以印证这一点，在让 AI 处理前，花点时间做基础的数据清洗（统一文件命名规范、检查必要字段是否存在、清理异常字符）是非常值得的投入。


• 纯净上下文：为 AI 提供一个相对“纯净”的、与当前任务高度相关的上下文环境，这样可以让 AI 在我们规划好的路线上进行开发，避免“天马行空”。


• 增量式沟通：尽量做到增量式沟通，不要一次性把所有需求都丢给 AI。先实现核心功能，跑通后再提新需求，比如我们添加手绘流程图的功能。每次交互都基于当前已完成的代码状态，让 AI 能“看到”它之前的成果，更容易理解下一步要做什么。

好了，实现这个小程序后，我再也不愁没菜吃了！后面我想还可以加一些有趣的功能，例如：今天吃什么、每周必吃、大家都在吃，等等功能，当然这些功能也是由 Trae 来开发，大家可以期待下，同时也期待未来 AI 编程能给我们带来更多、更强的能力，让我们能专注于更重要的「业务逻辑」。

参考资料

• 小程序的开发框架: uni-app


• 开发模板项目: wot-starter 地址: starter.wot-ui.cn/


• 组件库: wot-ui 地址: wot-ui.cn/


• 像老乡鸡那样做饭：github.com/Gar-b-age/C…

往期精彩

当年偷偷玩小霸王，现在偷偷用 Trae Solo 复刻坦克大战

告别 HBuilderX，拥抱现代化！这个模板让 uni-app 开发体验起飞

uni-app 还在手写请求？alova 帮你全搞定！

uni-app 无法实现全局 Toast？这个方法做到了！

Vue3 uni-app 主包 2 MB 危机？1 个插件 10 分钟瘦身

欢迎评论区沟通、讨论👇👇

最近，我在我们前端团队里推行了一个“强制性”的规定：所有新项目，必须使用pnpm作为包管理工具；所有老项目，必须在两个月内，逐步迁移到pnpm。

这个决定，一开始在团队里是有阻力的。

有同事问：“老大，npm用得好好的，为啥非要换啊？我们都习惯了。”

也有同事说：“yarn不也挺快的吗？再换个pnpm，是不是在瞎折腾？”

我理解大家的疑问。但我之所以要用“强制”这个词，是因为在我看来，在2025年的今天，继续使用npm或yarn，就像是明明有高铁可以坐，你却非要坚持坐绿皮火车一样，不是不行，而是没必要。

这篇文章，我就想把我的理由掰开揉碎了，讲给大家听。

npm和yarn的“原罪”：那个又大又慢的node_modules

在聊pnpm的好处之前，我们得先搞明白，npm和yarn（特指yarn v1）到底有什么问题。

它们最大的问题，都源于一个东西——扁平化的node_modules。

你可能觉得奇怪，“扁平化”不是为了解决npm v2时代的“依赖地狱”问题吗？是的，它解决了老问题，但又带来了新问题：

1. “幽灵依赖”（Phantom Dependencies）

这是我最不能忍受的一个问题。

举个例子：你的项目只安装了A包（npm install A）。但是A包自己依赖了B包。因为是扁平化结构，B包也会被提升到node_modules的根目录。

结果就是，你在你的代码里，明明没有在package.json里声明过B，但你却可以import B from 'B'，而且代码还能正常运行！

这就是“幽灵依赖”。它像一个幽灵，让你的项目依赖关系变得混乱不堪。万一有一天，A包升级了，不再依赖B了，你的项目就会在某个意想不到的地方突然崩溃，而你甚至都不知道B是从哪来的。

2. 磁盘空间的巨大浪费

如果你电脑上有10个项目，这10个项目都依赖了lodash，那么在npm/yarn的模式下，你的磁盘上就会实实在在地存着10份一模一样的lodash代码。

对于我们这些天天要开好几个项目的前端来说，电脑的存储空间就这么被日积月累地消耗掉了。

3. 安装速度的瓶颈

虽然npm和yarn都有缓存机制，但在安装依赖时，它们仍然需要做大量的I/O操作，去复制、移动那些文件。当项目越来越大，node_modules动辄上G的时候，那个安装速度，真的让人等到心焦。

pnpm是怎么解决这些问题的？——“符号链接”

好了，现在主角pnpm登场。pnpm的全称是“performant npm”，意为“高性能的npm”。它解决上面所有问题的核心武器，就两个字：链接。

pnpm没有采用扁平化的node_modules结构，而是创建了一个嵌套的、有严格依赖关系的结构。

1. 彻底告别“幽灵依赖”

在pnpm的node_modules里，你只会看到你在package.json里明确声明的那些依赖。

你项目里依赖的A包，它自己所依赖的B包，会被存放在node_modules/.pnpm/这个特殊的目录里，然后通过 符号链接（Symbolic Link） 的方式，链接到A包的node_modules里。

这意味着，在你的项目代码里，你根本访问不到B包。你想import B？对不起，直接报错。这就从结构上保证了，你的项目依赖关系是绝对可靠和纯净的。

2. 磁盘空间的“终极节约”

pnpm会在你的电脑上创建一个“全局内容可寻址存储区”（content-addressable store），通常在用户主目录下的.pnpm-store里。

你电脑上所有项目的所有依赖，都只会在这个全局仓库里，实实在在地只存一份。

当你的项目需要lodash时，pnpm不会去复制一份lodash到你的node_modules里，而是通过 硬链接（Hard Link） 的方式，从全局仓库链接一份过来。硬链接几乎不占用磁盘空间。

这意味着，就算你有100个项目都用了lodash，它在你的硬盘上也只占一份的空间。这个特性，对于磁盘空间紧张的同学来说，简直是福音。

3. 极速的安装体验

因为大部分依赖都是通过“链接”的方式实现的，而不是“复制”，所以pnpm在安装依赖时，大大减少了磁盘I/O操作。

它的安装速度，尤其是在有缓存的情况下，或者在安装一个已经存在于全局仓库里的包时，几乎是“秒级”的。这种“飞一般”的感觉，一旦体验过，就再也回不去了。

为什么我要“强制”？

聊完了技术优势，再回到最初的问题：我为什么要“强制”推行？

因为包管理工具的统一，是前端工程化规范里最基础、也最重要的一环。

如果一个团队里，有人用npm，有人用yarn，有人用pnpm，那就会出现各种各样的问题：

• 不一致的lock文件：package-lock.json, yarn.lock, pnpm-lock.yaml互相冲突，导致不同成员安装的依赖版本可能不完全一致，引发“在我电脑上是好的”这种经典问题。


• 不一致的依赖结构：用npm的同事，可能会不小心写出依赖“幽灵依赖”的代码，而用pnpm的同事拉下来，代码直接就跑不起来了。

在一个团队里，工具的统一，是为了保证环境的一致性和协作的顺畅。而pnpm，在我看来，就是当前这个时代下，包管理工具的“最优解”。

所以，这个“强制”，不是为了搞独裁，而是为了从根本上提升我们整个团队的开发效率和项目的长期稳定性。

最后的经验

从npm到yarn，再到pnpm，前端的包管理工具一直在进化。

pnpm用一种更先进、更合理的机制，解决了过去遗留下的种种问题。它带来的不仅仅是速度的提升，更是一种对“依赖关系纯净性”和“工程化严谨性”的保障。

我知道，改变一个人的习惯很难。但作为团队的负责人，我有责任去选择一条更高效、更正确的路，然后带领大家一起走下去。

如果你还没用过pnpm，我强烈建议你花十分钟，在你的新项目里试一试🙂。

运营小姐姐的烦恼

在我们公司有一个运营部门， 平常要负责把内容发布到抖音、快手、小红书等这些平台。账号类型也很多，有品牌号、合作号、还有专门用来做活动的测试号。 日常的工作量其实不小。尤其一到促销期或者活动期，一天要发好几条笔记，而且要同时覆盖不同的账号。

每次到了活动期，运营小姐姐的电脑上都是好几台手机和几十张图 + N 份文案堆在一起，一天下来要发好几条笔记，还得确保不同账号内容不重样、不出错。她经常一边切账号一边自言自语：“这张图是给哪个号的来着？我刚才发的是品牌号还是活动号？”

以前我们运营部门的流程是这样的：

策划把图文和文案打包发给运营，运营打开文件，一条条复制粘贴、上传图片、切换账号、点击发布……

多账号的时候还得来回切换登录，有时候内容顺序搞错了，还得手动撤回重发，前功尽弃。

这种方式不仅效率低下、容易出错，而且让人精神高度紧张，运营小姐姐经常下班后还得回群里道歉：“刚才发错平台了，我重新发一遍……”

技术出手，只为运营小姐姐少加点班

我每天下班的时候都能看到运营小姐姐还坐在工位上加班，发内容、切账号、贴文案、盯发布进度，一天反反复复几十次。到了活动高峰期，还得深夜返工，改图换文案，一不小心还会贴错内容、发错账号，前功尽弃。

面对运营小姐姐每天这样重复性极高的内容工作流程，我还是看不下去了：

我决定要用技术打破这一切机械操作。

于是我打算做一套 “内容统一管理 + 多平台分享集成” 的系统。

所有图文内容、发布素材和话题信息，运营可以提前在后台配置好。确认无误后，只需点击“一键生成分享链接”，把链接分享到对应设备上，打开就能自动跳转各个平台的发布界面，文案和图片都自动填充，彻底告别人工复制粘贴。

从“人工发图”变成“链接跳转”，

从“复制粘贴”变成“一键分发”，

用一行代码，换运营十分钟。

运营小姐姐只需要点一下，就能完成过去十几分钟的手工操作。把效率提上来，错误率降下去，让小姐姐能准点下班。

如何实现一键发布小红书笔记

那本篇文章我们就先单独讲一下如何实现用一条链接一键直接将图文和视频内容分享到小红书 App 笔记笔记里的功能。

我们先来看一下平常在小红书 App 手动发布笔记的流程 通常会先点击首页下方的加号按钮 选择要上传的图片或视频 然后输入标题和正文 再选择相关话题 确认无误后点击发布按钮完成发布 下面我放一张示意图方便大家直观理解整个流程

如果是多账号运营，这个过程就要重复好几次，效率非常低。等我们设计好架构接入技术之后，我们就能把整个流程程序化，把要发布的标题、内容、图片集中整理到一个统一的后台页面。运营先添加预发布的文案，在后台点击预览确认没有问题后，就可以生成一个分享链接，再把链接发给其他负责发布的同学。然后打开链接就能直接预览，并且一键快速发布，这就是我们希望实现的最终效果。

实现一键发布前的后台准备

由于项目真实后台涉及敏感配置和接口调用，这里我们用一个简单后台来说明功能设计流程。以下是一个我自己简单搭建的小红书文案管理后台，主要分为两个页面：文案列表页和发布页，分别用于管理文案和录入新文案。

我们先来看文案列表页，如下图展示：

它的主要功能是展示所有待发布或已发布的文案记录。每条文案包括封面图、标题、正文内容、图文数量，以及一组操作按钮，支持“复制分享链接”、“预览”、“编辑”和“删除”。通过这些操作，我们可以快速查阅、预览和维护已有文案。

右上角是搜索框和「新建文案」按钮，运营可以通过关键词快速查找历史文案，也可以点击新建按钮跳转到发布页。

下面是发布页的示意图，如图所示：

在这个页面中，我们可以填写文案的标题和正文内容，正文支持 Markdown 格式，方便排版。接着我们可以从素材库中选择需要发布的图片或视频内容。填写完成后，点击底部的「发布文案」按钮，即可提交到后台数据库中。

整个后台的核心流程是：运营先在发布页准备好图文内容并保存，之后可以回到列表页复制分享链接，将链接发送给需要发布的同学，对方点击链接即可跳转到预览页，一键发布到小红书 App笔记。这种方式大大简化了手动发布流程，尤其适合多账号分工运营场景，能极大提升效率，减少重复劳动。

后台文案管理功能设计

为了更方便地管理和发布图文内容，我们设计了一个简单的小红书后台系统。后台主要由两个核心页面组成：文案列表页 和 发布页，分别用于查看、维护和录入要发布的图文素材。

后台的数据存储基于一张 x_post 表，结构设计如下：

CREATE TABLE `x_post` (

  `id` bigint NOT NULL AUTO_INCREMENT COMMENT '主键',

  `type` varchar(20) NOT NULL COMMENT '笔记类型 normal | video',

  `title` varchar(255) DEFAULT NULL COMMENT '标题',

  `content` text COMMENT '正文内容',

  `cover_url` varchar(500) DEFAULT NULL COMMENT '封面图',

  `image_urls` text COMMENT '图片列表，JSON数组格式',

  `video_url` varchar(500) DEFAULT NULL COMMENT '视频地址',

  `is_deleted` tinyint(1) DEFAULT 0 COMMENT '是否删除 0=未删除 1=已删除',

  `deleted_at` datetime DEFAULT NULL COMMENT '删除时间',

  `created_at` datetime DEFAULT CURRENT_TIMESTAMP COMMENT '创建时间',

  `updated_at` datetime DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP COMMENT '更新时间',

  PRIMARY KEY (`id`)

) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci COMMENT='发布笔记表';

这张表记录了每篇小红书笔记的关键信息，包括标题、内容、封面、图文或视频链接、删除时间和是否删除等字段。其中 image_urls 是一个 JSON 数组格式，便于存储多图信息，type 字段区分图文和视频类型。

内容创建完后，运营小姐姐就可以通过后台的发布页录入一篇新文案，然后在列表页点击「预览」按钮来查看内容展示效果。（其实我们还可以支持一键导入文案素材的功能）

例如下图就是我们第一篇文案的预览效果页面：

这个预览页面完全模拟小红书 App 内的发布效果，顶部是封面图和内容图集，下面是正文，包括 emoji、换行、图文排版、交通路线推荐等内容。

如果是多账号运营，传统做法需要登录多个账号重复上传素材和手动复制粘贴内容，非常低效。而接入我们这个系统后，运营只需提前在后台准备好文案并生成预览链接，分发给不同的发布同事即可。对方打开链接后可以直接查看效果，并一键完成发布操作。

这大大提升了运营效率，尤其是在有多个账号需要同步发布或定时推送内容的场景中，非常实用。

这就是我们后台的整体设计思路。接下来，我们将详细介绍如何与小红书 App 进行联动，实现一键直达发布页的功能。通过技术手段进一步简化发布流程，实现图文内容从准备到落地的一体化闭环。

接入小红书分享平台 API

为了实现我们前面提到的“一键跳转到小红书发布页”的能力，我们需要借助小红书官方提供的 分享开放平台。它主要面向内容型或工具型的合作应用，提供了 SDK 和相关接口，支持 Android、iOS、HarmonyOS 和 JS 等多种平台。

从官方说明来看，当前支持的能力包括：

这些功能意味着，我们不需要自行设计复杂的内容编辑器，也不需要从零搭建视频发布模块，只需准备好基础内容，通过官方提供的 SDK 唤起小红书 App，即可完成整个跳转发布流程。

接入流程

下面是我们使用小红书JS SDK整个接入流程的概览图：

从图中可以看出，整个分享流程包括如下关键步骤：

鉴权签名流程

整个 JS SDK 鉴权流程主要包括以下三步：

发布分享

在完成了前面的接入流程和鉴权签名后，我们最终要调用的是小红书 JS SDK 提供的分享方法 xhs.share()，这个方法可以让我们唤起小红书 App，并快速填充好要发布的内容。

调用格式大致如下：

xhs.share({

  shareInfo: {

    type: 'normal',      // 笔记类型，图文用 'normal'，视频用 'video'

    title: '...',         // 笔记标题（可选）

    content: '...',       // 笔记正文内容（可选）

    images: ['...'],      // 图文笔记必填，必须是公网图片地址

    video: '...',         // 视频笔记必填，必须是公网视频地址

    cover: '...',         // 视频封面图，必须是公网地址

  },

  verifyConfig: {

    appKey: '...',        // 平台分配的应用唯一标识

    nonce: '...',         // 服务端生成的随机字符串

    timestamp: '...',     // 服务端生成的时间戳

    signature: '...',     // 服务端生成的签名

  },

  fail: (e) => {

    // 调用失败时的处理逻辑

  }

})

这里的 shareInfo 是我们希望填入小红书发布页面的内容信息，主要包括笔记类型（图文 or 视频）、标题、正文、图片或视频地址等；而 verifyConfig 是服务端提前生成的签名鉴权参数，必须由服务器返回，不能由前端自己生成。

下面是每个字段的含义说明：

需要注意的是，小红书的 xhs.share() 方法内置了鉴权流程，我们只需要提供服务端生成的 nonce、timestamp 和 signature，前端不需要自己参与签名过程。

上面我们已经介绍了接入小红书分享平台 JS SDK 的整个流程，包括平台能力、签名机制以及前后端的配合方式。

接下来我将通过一个简化版本的服务端接口与前端 HTML 页面，来实现一个最小闭环的一键发布功能 Demo，帮助大家快速理解整个流程的落地实现。

服务端接口设计：文案预览与一键发布签名生成

在服务端的逻辑里，我们通常只需要实现两个接口：一个是文案预览接口，另一个是一键发布时用到的分享参数生成接口。

文案预览接口的作用是：当我们从后台生成了一个分享链接发给同事后，对方打开这个链接时，前端需要能展示出这条小红书文案的内容，比如标题、正文、图片等信息。这时候页面会携带一个唯一的文案 ID（通常是链接里的参数），服务端需要根据这个 ID 去数据库查一下这条文案是否存在、有没有被下架等状态校验，然后把文案信息返回给前端做展示。

而一键发布接口的作用是：当用户点击“立即发布”按钮后，前端需要去服务端调用一个接口，这个接口的任务是再次校验文案是否有效，并根据我们接入小红书分享平台的要求，生成所需的签名参数（比如 appKey、nonce、timestamp、signature 等），这些参数会被前端 JS-SDK 拿去唤起小红书 App，实现真正的跳转和发布功能。

接口一：文案预览接口

在我们的后台中，每一条小红书文案都支持“点击生成分享链接”的功能。这个分享链接通常会附带一个唯一标识 ID，例如：

https://xxxx.com/share.html?_id=ABY1boZllzPlTiq2

这个 _id 就是我们为每一条文案生成的唯一标识，目的是为了让运营或其他同事拿到链接后可以打开预览页面，并看到这条笔记的内容细节。

我们服务端的预览接口设计也非常简单，主要逻辑如下：

控制器代码

/**

 * 预览接口

 * 示例：GET /api/post/preview/1

 */

@GetMapping("/preview/{id}")

public ResponseEntity<XPost> preview(@PathVariable Long id) {

    return ResponseEntity.ok(postService.previewPost(id));

}

为了方便演示，这里我们使用的是通过 GET 请求访问接口，并直接返回数据库中的文案信息。实际项目中可以根据自己的需求使用更安全或更复杂的方式来处理分享链接的鉴权与数据访问。

Service 层逻辑

public XPost previewPost(Long id) {

    return postRepository.findById(id)

        .orElseThrow(() -> new RuntimeException("内容不存在"));

}

这个方法会根据文案 ID 去数据库中查询对应的数据。如果找不到，就直接抛出异常提示“内容不存在”。

通过这个接口，我们就可以在分享链接打开时，自动去服务端拉取对应文案的数据，并渲染在页面中，方便运营预览确认。

前端预览页面展示效果

在前面我们已经通过服务端接口拿到了某条文案的详细内容（如图片列表、正文文案等）。这一步我们会基于这些数据，用一个简单的 HTML 页面来完成“预览页面”的渲染展示。

这个页面的作用是：当我们在后台生成分享链接并复制给运营后，运营或用户可以通过这个链接在浏览器中打开文案预览页面，确认发布内容是否正确。如果确认无误，还可以点击“一键发布”按钮，跳转至小红书 App 完成最终发布。

示例展示效果

如下图所示，这是我们通过微信打开渲染出来的预览页面效果：

我这个demo页面使用了原生 HTML + Tailwind CSS + Swiper 轮播图组件来实现这个页面。代码逻辑非常简单：

• 页面加载时调用服务端接口 /api/post/preview/{id} 获取文案内容；


• 根据接口返回的 imageUrls 渲染轮播图；


• 根据 content 渲染正文文案；


• 点击“发布到小红书”按钮，跳转到下一步一键分享页面。

下面是部分部分代码片段：

<!-- 图片轮播区域 -->

<div class="swiper">

  <div class="swiper-wrapper" id="preview-images"></div>

  <div class="swiper-pagination"></div>

</div>



<!-- 文案内容 -->

<div class="xhs-text" id="preview-text">加载中...</div>



<!-- 一键发布按钮 -->

<button class="btn-publish" onclick="publishPost()">发布到小红书</button>

我们通过简单的轮播图 + 段落渲染的方式，让用户在手机上也可以便捷查看预览效果。整个页面在移动端有良好的显示效果，支持微信、浏览器等环境打开。

接口二：一键发布接口：生成跳转小红书所需参数

在完成了预览页面后，接下来我们要实现的就是 一键发布接口。这个接口的核心目标是：

当用户在预览页面点击“发布到小红书”按钮后，后端生成一组必要的签名参数，并返回给前端，前端再用这组参数跳转到小红书 App 完成笔记发布。

接口定义

我们定义了如下接口来支持这个过程：

/**

 * 发布接口

 * 示例：GET /api/post/publish/1

 */

@GetMapping("/publish/{id}")

public ResponseEntity<Map<String, Object>> publish(@PathVariable Long id) {

    Map<String, Object> result = postService.buildPublishResult(id);

    return ResponseEntity.ok(result);

}

这个接口中，id 表示文案在数据库中的主键 ID。我们通过这个 ID 查询文案内容，并为其生成一组带签名的跳转参数。

配置小红书开放平台的 AppKey 和 AppSecret

在 Spring Boot 的 application.yml 配置文件中，我们提前配置好了小红书开放平台的 appKey 和 appSecret，用于生成签名参数：

# 小红书分享开放平台配置

xhs:

  app-key: xxxxxxx

  app-secret: xxxxxxx

核心方法：构建发布参数

接口底层调用的逻辑是：

public Map<String, Object> buildPublishResult(Long id) {

    XPost post = previewPost(id); // 获取笔记内容



    // 生成签名部分

    Map<String, Object> data = generateSignature(id); 



    // 构建分享内容

    Map<String, Object> shareInfo = new HashMap<>();

    shareInfo.put("type", post.getType());

    shareInfo.put("title", post.getTitle());

    shareInfo.put("content", post.getContent());

    shareInfo.put("images", ImageUtils.parseImages(post.getImageUrls()));

    shareInfo.put("cover", Optional.ofNullable(post.getCoverUrl())

        .orElseGet(() -> ImageUtils.getFirstImage(post.getImageUrls())));

    shareInfo.put("time", System.currentTimeMillis());

    shareInfo.put("_id", "xhs_" + post.getId());



    Map<String, Object> result = new HashMap<>();

    result.put("data", data);         // 签名字段

    result.put("shareInfo", shareInfo); // 文案内容

    return result;

}



/**

 * 生成小红书发布参数签名

 * @param postId 文案ID

 * @return appKey + nonce + timestamp + signature

 */

public Map<String, Object> generateSignature(Long postId) {

    // 查询是否存在

    XPost post = postRepository.findById(postId)

            .orElseThrow(() -> new RuntimeException("内容不存在"));



    String appKey = xhsProperties.getAppKey();

    String appSecret = xhsProperties.getAppSecret();



    String nonce = UUID.randomUUID().toString().replace("-", "").substring(0, 12);

    String timestamp = String.valueOf(System.currentTimeMillis());



    try {

        String signature = SignatureUtil.buildSignature(appKey, nonce, timestamp, appSecret);



        Map<String, Object> result = new HashMap<>();

        result.put("appKey", appKey);

        result.put("nonce", nonce);

        result.put("timestamp", Long.parseLong(timestamp));

        result.put("signature", signature);

        return result;



    } catch (Exception e) {

        throw new RuntimeException("生成签名失败: " + e.getMessage(), e);

    }

}

接口返回的结果分为两部分：

• data 部分：用于跳转小红书所需的签名参数，包括 appKey、nonce（随机字符串）、timestamp（时间戳）、signature（签名值），这些字段将作为 xhs.share() 方法中的 verifyConfig 参数传入；


• shareInfo 部分：是我们准备要发布的笔记内容，包括 type（图文 or 视频）、title（标题）、content（正文）、images（图片地址列表）、cover（封面图）等信息，用于在前端渲染展示和传递给小红书 SDK。

我们测试时实际返回的结构如下所示：

{

  "shareInfo": {

    "cover": "http://110.42.233.124/images/dishini.jpg",

    "images": [

      "http://110.42.233.124/images/dishini.jpg",

      "http://110.42.233.124/images/dishini2.jpg",

      "http://110.42.233.124/images/dishini3.jpg"

    ],

    "time": 1758188642421,

    "_id": "xhs_1",

    "type": "normal",

    "title": "一张图讲清楚上次迪士尼交通攻略🚇",

    "content": "一张图讲清楚上次迪士尼交通攻略🚇\n有多少宝子去迪士尼光是研究交通就费了好大劲。。。"

  },

  "data": {

    "signature": "2486268ecfa3886b7fc4cd1d1fcbda5381b3177f96daf5f1e4dd09b938f94d4f",

    "appKey": "red.96juc55xxxx",

    "nonce": "10e07cfc400c",

    "timestamp": 1758188642420

  }

}

前端拿到这组数据后，只需要将 shareInfo 和 data 传入小红书 SDK 的 xhs.share() 方法中，即可完成跳转与笔记预填。

签名生成工具类：SignatureUtil.java

小红书分享 SDK 的调用需要进行签名认证，为此我们封装了一个简单的工具类，用于生成 SHA256 签名，核心思路是：

/**

 * 小红书签名生成工具类

 */

public class SignatureUtil {



    /**

     * 构建签名

     *

     * @param appKey    应用唯一标识

     * @param nonce     随机字符串（建议12位）

     * @param timestamp 当前时间戳（毫秒）字符串格式

     * @param appSecret 应用密钥

     * @return 签名字符串（SHA-256 Hex）

     */

    public static String buildSignature(String appKey, String nonce, String timestamp, String appSecret) throws Exception {

        Map<String, String> params = new HashMap<>();

        params.put("appKey", appKey);

        params.put("nonce", nonce);

        params.put("timestamp", timestamp);



        return generateSignature(appSecret, params);

    }



    /**

     * 签名生成逻辑

     * @param secretKey 秘钥

     * @param params 参数 map

     * @return 签名字符串

     */

    public static String generateSignature(String secretKey, Map<String, String> params) {

        // Step 1: 排序参数

        Map<String, String> sortedParams = new TreeMap<>(params);



        // Step 2: 拼接参数字符串（key=value&...）+ secretKey

        StringBuilder sb = new StringBuilder();

        for (Map.Entry<String, String> entry : sortedParams.entrySet()) {

            if (sb.length() > 0) sb.append("&");

            sb.append(entry.getKey()).append("=").append(entry.getValue());

        }

        sb.append(secretKey); // 拼接密钥



        // Step 3: 进行 SHA256 签名

        try {

            MessageDigest md = MessageDigest.getInstance("SHA-256");

            byte[] hashBytes = md.digest(sb.toString().getBytes(StandardCharsets.UTF_8));



            // 转十六进制

            StringBuilder hex = new StringBuilder();

            for (byte b : hashBytes) {

                hex.append(String.format("x", b));

            }

            return hex.toString();



        } catch (NoSuchAlgorithmException e) {

            throw new RuntimeException("SHA-256算法不可用", e);

        }

    }

}

图片处理工具类：ImageUtils.java

因为我们数据库中 image_urls 字段是 JSON 数组格式（如 ["url1", "url2", "url3"]），前端展示和分享时需要将其解析成 List<String>，我们封装了如下工具类：

• parseImages()：将数据库的 JSON 格式或逗号分隔的图片字符串，解析为图片地址列表。


• getFirstImage()：获取列表中的第一张图，作为默认封面图。

/**

 * 图片处理工具类

 */

public class ImageUtils {



    private static final ObjectMapper mapper = new ObjectMapper();



    /**

     * 将 imageUrls 字段解析为图片地址列表

     * @param imageUrls 数据库中的 imageUrls 字段

     * @return List<String> 图片地址列表

     */

    public static List<String> parseImages(String imageUrls) {

        if (imageUrls == null || imageUrls.isBlank()) return Collections.emptyList();



        try {

            // 如果是 JSON 数组格式

            if (imageUrls.trim().startsWith("[")) {

                return mapper.readValue(imageUrls, new TypeReference<List<String>>() {});

            } else {

                // 普通逗号分隔格式

                return Arrays.stream(imageUrls.split(","))

                        .map(String::trim)

                        .filter(s -> !s.isEmpty())

                        .collect(Collectors.toList());

            }

        } catch (Exception e) {

            return Collections.emptyList(); // 解析失败返回空列表

        }

    }



    /**

     * 获取图片中的第一张图（封面用）

     * @param imageUrls 数据库中的 imageUrls 字段

     * @return 第一张图片地址或 null

     */

    public static String getFirstImage(String imageUrls) {

        List<String> images = parseImages(imageUrls);

        return images.isEmpty() ? null : images.get(0);

    }

}

前端跳转页实现（跳转小红书 App 分享）

在我们前面实现的文案预览页中，点击“一键发布”按钮后，会跳转到一个中间页，这个页面的作用是：

• 检查用户当前的浏览器环境（是否是微信、是否是 Android）；


• 请求服务端接口，获取真实的文案内容 + 签名参数；


• 自动调用小红书开放平台提供的 xhs.share() 方法，引导用户跳转并打开小红书 App 进行发布。

判断浏览器类型与环境

前端页面在加载时，会首先通过以下代码判断当前浏览器环境：

const u = navigator.userAgent.toLowerCase();



const isAndroid = u.includes('android') || u.includes('adr');

const isWeixin = u.includes('micromessenger');



const params = Object.fromEntries(new URLSearchParams(location.search).entries());



const id = params.id;

const appKey = params.appKey;

const nonce = params.nonce;

const timestamp = params.timestamp;

const signature = params.signature;



// 如果在微信中提示用户跳出

if (isAndroid && isWeixin) {

  document.getElementById("tips").style.display = 'block';

} else {

  goShare();

}

这一段逻辑我们简单做了几件事：

• 从浏览器的 userAgent 中判断用户是否使用的是 安卓设备，以及是否是在 微信浏览器中打开。


• 如果是在微信中打开，则无法直接跳转小红书 App，因此我们会弹出提示，要求用户“点击右上角 -> 浏览器打开”。


• 否则，说明环境已满足跳转条件，我们会直接调用 goShare() 方法进入分享流程。

请求服务端接口，校验并返回参数

当满足环境条件后，页面会自动调用我们之前实现的第二个接口 /api/post/publish/{id}，用于服务端校验文案真实性，并返回跳转小红书所需的加密参数。代码如下：

const res = await fetch(`http://110.42.233.124:8888/api/post/publish/${id}`);

const json = await res.json();



const { data: verifyConfig, shareInfo } = json;

调用小红书 SDK 的分享能力

一旦我们拿到 verifyConfig（签名参数）和 shareInfo（图文内容），就可以正式调用小红书的 SDK 进行分享：

xhs.share({

  shareInfo: {

    type,

    title,

    content,

    images,

    ...(type === 'video' ? { video, cover } : {})

  },

  verifyConfig: {

    appKey: verifyConfig.appKey,

    nonce: verifyConfig.nonce,

    timestamp: verifyConfig.timestamp,

    signature: verifyConfig.signature

  },

  fail: (e) => {

    console.error('小红书分享失败：', e);

    alert('小红书分享失败: ' + JSON.stringify(e));

  }

});

这个方法会自动拉起小红书 App 并进入发布页，用户可以直接确认发布内容。

最终效果

以下是我们实际测试中跳转页的样式效果示意（图片有点大，耐心等待一下..... ）包含提示引导和自动跳转逻辑：

从图中流程我们可以看到，我们打开了后台给到的分享链接后，我们就可以进入第一个文案预览页面。当我们点击预览页面中的「一键发布」按钮后，页面会自动跳转至我们前面实现的中间页（分享跳转页）。整个过程的用户体验如下：

也就是说，用户只需要点几下，就能一键跳转到小红书 App 发布笔记，几乎不需要做任何额外操作，整个过程简单快速，适合后台批量生成内容后，由运营一键分发。

这一套跳转流程适用于图文与视频类型的内容，不需要接入小红书 App SDK，只需要后台生成好内容和签名，前端发起跳转即可。

进阶设计：多设备自动发布与后台数据统计

到这里，我们已经完成了整套“小红书文案一键发布”的实现流程，用户只需点击跳转，就能将指定文案快速填充到小红书 App 的发布页面。

但如果放在实际业务中，这还只是第一步。

目前这种方式仍然依赖人工操作 —— 也就是说，我们还是需要每台手机手动打开链接、点击发布，才能完成整个笔记的投放过程。

而在真实的项目实践中，我们已经做到了 “机器化发布”：通过技术手段控制多台手机（甚至几十上百台设备）同时打开指定链接、自动触发跳转与发布动作，极大地提升了投放效率，节省了大量人力。

此外，后台系统也支持发布数据的实时统计，例如：

• 哪些账号已成功发布；


• 每条文案的发布状态；


• 相关数据是否回传成功（如小红书笔记的曝光量、点赞量等）；


• 发布失败的情况排查与补投管理。

当然，这部分内容就不展开讲了，有兴趣的同学可以进一步了解在分发调度、设备联控、账号管理等方面的实践方案。

用后台赋能一对多教学，打造自己的“小红书孵化器”

这套系统除了用于团队运营，其实对独立开发者、个人博主、内容培训者也非常实用。

以我自己为例，比如我现在在做「教粉丝小红书起号」的副业。但如果每位粉丝都要我手动发图、写文案、传视频，再一个个教他们怎么发笔记，不仅效率低，还特别容易出错。

于是我直接用自己搭的“小红书发布系统”来做教学工具：

这样我就可以用一套系统同时带多个账号起号，效率极高，不用再反复教每个人怎么贴图、加话题、排版、复制文案。

甚至还可以统计哪篇文案被谁用了，效果怎么样，方便后续优化内容策略。

所以说这套系统已经不只是一个“分享工具”，更是我做小红书教学、孵化账号的内容分发中枢了。

更多平台的扩展实践：从小红书到全平台统一管理

小红书虽然是目前最热门的图文笔记平台之一，但它的 JS SDK 和分享 API 对接起来其实非常简单。我们前端只要把参数拼好，直接调用 xhs.share()，就能一键跳转到 App 发布页面。

也正因为这种接入方式足够“轻量、稳定”，我们很快发现：

同样的模式，可以复制到更多平台。

除了小红书，我们还陆续接入了抖音（抖音开放平台）、快手（快手开放平台）、B站（哔哩哔哩开放平台）、微博（微博开放平台）等多个平台，把“一键发布”做成了一个真正的统一系统。

最后我们搭建出了一个 “内容发布中台” ：

• 后台统一配置文案、图片、视频等素材；


• 前端页面自动生成跳转链接；


• 多平台同时分发，减少人工操作；


• 实时回传发布状态，统一统计效果数据。

这样一来，无论是日常运营，还是品牌推广，都能用最少的人力，把内容快速推送到所有目标平台，实现最高效的触达。

技术也能让运营小姐姐更轻松

这一套“小红书一键发布”系统，其实技术上并不复杂，前端甚至就一行 xhs.share(...)。但当我们把流程统一、配置集中、权限收敛、参数自动化后，整个团队的节奏就变了。

以前运营小姐姐每天得在文案、图片、账号之间来回切换，错一个字就要撤回重发，现在她登录后台挑好文案，一键生成链接，分享到手机点一下，直接跳进 App 就能发笔记，图文话题全自动贴好。

从“复制粘贴”到“一键跳转”，从“账号切来切去”到“后台统一分发”，

连她自己都说：“以前像搬砖工人，现在像点菜经理。”

最重要的是：

她终于可以准时下班了。

我们现在还接入了设备控制、状态检测、效果回传，如果后面再接个大模型自动生成文案，她可能连选图都不用了，坐着喝奶茶就能把内容分发搞定。

这也让我明白一件事：

不是运营不努力，而是工具不给力。

技术如果能让人少加点班、多留点发际线，那就值得去做。

这其实就是一个非常典型的例子：技术可以改变运营效率，甚至直接降低人力成本。

未来当我们再结合 AI 大模型（比如自动生成文案、图片审核、内容风格推荐等），这个平台的自动化能力还可以再上一个台阶。

所以哪怕只是一次小小的集成，也值得认真打磨。它的价值，可能比我们想象中更大哦。

大家好，我是拭心。

今天被一张《IT 开发工作可能要完全重组》的图片刷屏，图片中的观点是：传统的「产品-设计-前端/后端」模式在 AI 时代将被变革。

很多人会觉得“前端没有实际的必要了”是管理者自嗨，但就我个人的见闻而言，这可能真的是未来趋势。

基于 AI 的一专多能“超级个体”模式已经在很多公司铺展开，未来不久程序员大概率会不分前后、只剩全栈。

之所以敢这么笃定，是因为今年我亲身经历了这个变化。

简单聊聊我的工作变化

今年我的工作 80% 都是 AI 相关，工作内容上有三个比较大的转变：

工作时间分配上，也从之前的「大部分时间手写代码」变成了：

在我做的这些项目里，正如文章开头的图片所说，完全没有前后端岗位的概念，基本上都是和业务方沟通完需求、确定好方案，就开发、上线，甚至有的需求我自己定方案（在 AI 的加持下）。

前端是不是真的没有实际的必要了

那么问题来了，前端/后端以后是不是就不需要这么多人，大家要失业了？

我的看法是：程序员这个岗位的确会变少，但适合我们的新机会也随之诞生了。

随着大模型的编程能力提升和配套设施完善，代码开发的 AI 化必定会发展到 80% 甚至 90%（至少还需要 10～20% 的人把关）。

如果只盯着程序员的「把需求文档实现为代码」这个职能，我们的机会是越来越少的。

但如果着眼于使用 AI 进行业务流程改造和内容生产，机会会越来越多。

最近两年开始，很多公司开始招聘名为「AI 工程师」的岗位，他们的工作内容就是业务优化和 AIGC。这个岗位招的人呈两极分化：要么是年轻的高学历应届生、要么是经验丰富的资深开发者。

招高学历应届生是因为他们具备创新和挑战精神；而招资深开发者转型 AI 应用，是因为他们有业务经验、全栈能力更强。

我今年的岗位角色就是 AI 工程师，在带着这种视角工作时，会发现有太多可以做的，以前凭感觉定的都可以用 AI 重做一遍，AI 工程师目前还远远不够。

想想我们的产品里有多少文案是写死的？有多少数据是无人问津的？有多少策略是拍脑袋定的？这些都是 AI 工程师可以改造优化的点。

总结

忍不住多写了几句，一看表这么晚了，年纪大了不能熬夜，总结一下结束此文。

技术变革就是会让生产效率提升，让工具性的岗位变少（程序员说白了就是把人的语言翻译为机器语言），但也会催生出新的岗位，我们要向前看。

从感性上我们是不愿意接受的，怎么革命偏偏革到了我们头上？我的房贷还没还完呢，以后可怎么办呢？

别慌，就我今年的经验来看，这一波 AI 技术革命，作为软件开发的我们有先发优势，只要稍加学习，再加上一些业务思考，很容易就可以转型到 AI 工程师。

至于如何转型到 AI 工程师，容我结合今年的工作&学习经验梳理下，也欢迎感兴趣的朋友留言讨论你们的看法。

滚滚长江东逝水，乘风安逸逆风衰，晚安朋友。

这就是流量的力量吗？用豆包 AI 编程做的小红书小组件帖子爆了

2025 上半年头部 AI 产品都有哪些？还有哪些新起之秀？

拭心 7 月日复盘｜个体在 AI 时代的挑战

2025 年 AI 的落地程度远比我们想象的广

最近在使用 NestJs 和 NextJs 在做一个协同文档 DocFlow，如果感兴趣，欢迎 star，有任何疑问，欢迎加我微信进行咨询 yunmz777

Electron 39.0.0 于 2025 年 10 月 27 日发布。此版本带来了对 Chromium、Node.js 和 V8 引擎的更新，提升了性能和稳定性，同时也引入了一些新的功能和改进。以下是此版本的详细变化。

栈升级

• Chromium: 更新到 142.0.7444.52，这意味着 Electron 在此版本中升级了其底层浏览器引擎。该版本修复了多个性能和安全漏洞，同时引入了一些新的 Web 标准。


• Node.js: 更新到 22.20.0，这个版本包含了许多重要的 Node.js 修复和改进，包括性能优化和一些新的 API。


• V8: 更新到 14.2，V8 引擎的升级提升了 JavaScript 执行的效率，使得应用程序的响应速度更快，内存占用更低。

破坏性更改

在这一版本中，有几个 API 和行为发生了变化，这可能会导致与以前版本的兼容性问题。

• OffscreenSharedTexture：此 API 的签名进行了更新，新的版本提供了一个统一的 handle，用于持有原生句柄。这意味着开发者需要调整代码，以便正确使用这个新的接口。


• window.open：该方法的行为得到修复，确保它创建的弹出窗口始终是可调整大小的。原本可能出现的不一致性问题已经被解决，确保符合标准规范。

新特性

• Offscreen 渲染支持 RGBAF16：Electron 现在支持以 RGBAF16 格式输出图像数据。这意味着应用程序可以更好地支持高动态范围（HDR）图像，提供更高质量的图像渲染。


• process.getSystemMemoryInfo() 增强：在 macOS 上，getSystemMemoryInfo 方法新增了 fileBacked 和 purgeable 字段，这让开发者能够获得更多关于系统内存的信息，包括哪些内存是文件映射的、哪些可以被清除以释放空间。


• systemPreferences.getAccentColor：在 Linux 上，Electron 新增了一个方法 systemPreferences.getAccentColor，它返回操作系统的强调色。这对于需要与操作系统主题颜色匹配的应用程序很有用。


• 托盘图标 guid 选项：在 macOS 上，Tray 构造函数现在支持一个新的 guid 选项。这个选项允许托盘图标在应用程序重新启动后保持相同的位置和状态，使得用户体验更加一致。


• WebFrameMain API 增强：Electron 新增了 webFrameMain.fromFrameToken(processId, frameToken) 方法，开发者可以通过此方法从帧令牌获取 WebFrameMain 实例，这对于需要直接操作特定帧的应用程序非常有用。


• 可访问性支持：Electron 引入了更细粒度的可访问性支持，包括为开发者提供更多的 API 来提高对残障人士的支持。这使得应用程序能更好地满足可访问性需求，提供更加友好的用户体验。


• app.getRecentDocuments() 支持：在 Windows 和 macOS 上，Electron 现在支持 app.getRecentDocuments() 方法。通过这个方法，开发者可以获取到最近访问的文档列表，方便实现类似于“最近使用文件”的功能。


• USB 设备 API 更新：Electron 新增了对 USBDevice.configurations 的支持。开发者现在可以获取到连接到设备的 USB 配置信息，这对于需要与 USB 设备交互的应用程序非常有用。


• 文件系统 API 更新：在应用程序中持久化文件系统权限状态变得更加简单。Electron 允许在给定的会话内持久化文件系统授权状态，避免用户每次打开应用时重新授权。


• 动态导入（ESM）支持：在非上下文隔离的预加载脚本中，Electron 现在支持动态导入 ECMAScript 模块（ESM）。这使得开发者能够在 Electron 中更灵活地使用 JavaScript 模块化。

修复

• 系统配色问题修复：修复了 systemPreferences.getAccentColor 返回的颜色反转的问题，确保返回的颜色值符合预期。


• 开发者工具：修复了在 Wayland 上调用 webContents.openDevTools({ mode: 'detach' }) 时可能导致的崩溃问题。Wayland 是 Linux 上的一种显示协议，这个修复对于在该平台上开发的 Electron 应用程序至关重要。


• 会话管理问题：修复了访问 webContents.session 时可能导致崩溃的问题。这个修复增强了应用程序在多会话环境下的稳定性。


• 窗口管理：修复了在调用 window.close() 后，执行某些操作可能导致崩溃的问题。这个修复提高了窗口管理的可靠性。


• 命令行参数问题修复：修复了通过命令行参数传递特性参数时，可能导致的崩溃问题，确保应用程序能够稳定运行。


• 文件对话框问题修复：修复了在 Windows 上调用 dialog.showOpenDialog 时，如果传入的扩展名过滤器数组为空，可能导致的崩溃问题。

其他更改

• 资源定位：内部的资源定位机制发生了变化，现在 Electron 使用 DIR_ASSETS 来定位资产和资源。此外，app.getPath 方法现在支持返回一个新的 "assets" 键，用于获取应用程序资源路径。


• 文档更新：官方文档得到了更新和补充，相关的 API 和功能进行了详细说明，开发者可以参考最新的文档了解更多实现细节。

总结

Electron 39.0.0 版本主要带来了对 Chromium、Node.js 和 V8 的升级，提升了性能和稳定性。此外，新增了对 Offscreen 渲染、系统主题色、USB 设备支持等的支持，也修复了多个与窗口管理、文件对话框等相关的 bug。对于开发者来说，这些更新和改进能够带来更高效、稳定的开发体验。

太空数据中心的能源成本将只有地面上的十分之一。

11 月 2 日，英伟达首次把 H100 GPU 送入了太空。

作为目前 AI 领域的主力训练芯片，H100 配备 80GB 内存，其性能是此前任何一台进入太空的计算机的上百倍。在轨道上，它将测试一系列人工智能处理应用，包括分析地球观测图像和运行谷歌的大语言模型（LLM）。

此次测试飞行搭载于位于弗吉尼亚州雷德蒙德的初创公司 Starcloud 的 Starcloud-1 卫星上，是该公司雄心勃勃的计划的第一步，该计划旨在将全球耗能巨大的数据处理基础设施迁移到太空。Starcloud 是 NVIDIA Inception 创业公司计划的成员。

支持者认为这个想法很有前景：在遥远的太空深处，数据中心不会占用宝贵的土地，也不需要那么多能源和水来冷却，它们也不会向大气中排放温室气体。

在算力逐渐紧张的 AI 时代，把芯片发射到太空已成为一个新的发展方向。此前，英伟达的 Jetson 机器学习计算板卡曾搭载于多颗实验型和地球观测小型卫星上。不过相比之下，本次 Starcloud 的行动可谓是建设太空数据中心的重要一步，这将是人类首次把地面数据中心的 GPU 送入轨道运行，为最早明年启动商业服务铺平了道路。

「在太空，你可以获得几乎无限的低成本可再生能源，」Starcloud 联合创始人、CEO Philip Johnston 表示。「对环境的唯一成本是发射成本。与在地球上为数据中心供电相比，在数据中心的整个生命周期内，二氧化碳排放量将减少 10 倍。」

这项为期三年的任务将由 SpaceX 的「Bandwagon 4」猎鹰 9 号火箭发射升空。仅重 60 公斤的 Starcloud-1 卫星将在距离地球约 350 公里的超低轨道上运行。在那里，它将接收来自美国 Capella 公司运营的合成孔径雷达 (SAR) 地球观测卫星群的数据，实时处理这些数据，并将信息传回地球。

Starcloud-1 卫星的内部结构，银色模块中装有一块 H100 GPU。该卫星基于 Astro Digital 的 Corvus-Micro 平台，预计任务寿命为 11 个月。

SAR 每秒预计会产生 10GB 的数据，在太空服务器出现之前，数据传输是个大问题。Johnston 表示：「但如果能够在轨道上处理这些数据，我们就只需下行传输关键信息。例如，信息可能显示某个位置有一艘船正以特定速度朝特定方向移动。这只需要一个 1 千字节的数据包，而下行传输未处理的数据则需要数百 GB。」

太空数据中心的优势

对于来自地球轨道卫星的数据进行轨道处理只是 Starcloud 愿景的一部分。该公司认为，随着火箭技术的进步，特别是 SpaceX 星舰预期带来的成本降低，未来的大规模计算基础设施可以部署在轨道上，而无需占用地球上宝贵的空间。

英伟达可持续发展负责人 Josh Parker 表示：「随着 AI 技术对能源需求的不断增长，轨道数据中心代表着一项变革性的环境突破 —— 它能大幅减少温室气体排放，并消除对先进冷却技术的需求。通过利用低成本、不间断的太阳能，避免占用土地和使用化石燃料，Starcloud 的技术使数据中心能够快速且可持续地扩展，从而在数字基础设施不断发展的同时，帮助保护地球气候和关键自然资源。」

据国际能源署预测，到 2030 年，全球数据处理基础设施的耗电量将与整个日本的用电量相当。数据中心还需要大量的水用于冷却 —— 世界经济论坛的数据显示，一个 1 兆瓦的数据中心每天的用水量相当于发达国家约 1000 人的用水量。随着人工智能的进步，计算需求持续增长，这些消耗也会与日俱增。人们越来越担心成本上升以及电力和供水中断的问题。该技术的支持者认为，将数据中心迁移到太空可以解决这些问题。

Starcloud 甚至预测在未来十年内，几乎所有新建数据中心都将建在太空，这完全是因为地面能源的限制。

Philip Johnston 指出，要让地球上的数据中心完全依靠绿色能源运行，需要对太阳能发电和电池储能系统进行大量投资。而在太空，由于阳光全天候可用，因此无需电池储能。此外，每个太阳能电池板在太空产生的电量是地球上同等容量太阳能电池板的八倍，这进一步降低了成本。

「我们在太空中唯一的额外成本就是发射费用。我们预计每公斤发射成本约为 500 美元，达到盈亏平衡点。而使用星舰后，预计发射成本会更低，」Philip Johnston 说道。

Starcloud 联合创始人、CEO Philip Johnston 正在检查用于卫星定向的星敏感器。

一旦星舰全面投入运营，其每公斤发射价格预计将在 10 美元到 150 美元之间。该运载火箭迄今已成功完成六次飞行，根据现在的时间表将于明年首次发射卫星，不过仍然存在较大的推迟可能性。

除了支持 SAR 之外，Starcloud 也计划在轨道上使用 H100 GPU 运行 Gemma（谷歌的开源模型），证明即使是大语言模型也可以在外太空运行。与此同时，Starcloud 已在筹划其下一个任务，其计划明年将一颗比 Starcloud-1 强大十倍的数据中心送入太空。

Starcloud-2 任务将搭载英伟达新一代 Blackwell GPU 和数块 H100。Johnston 表示，该任务将提供 7 千瓦的计算能力，预计将为包括地球观测卫星运营商和美国国防部在内的客户提供商业服务。

一颗功率更大的 100 千瓦卫星预计将于 2027 年入轨。Starcloud 公司认为，到 2030 年代初，它将在太空中拥有一个 40 兆瓦的数据中心，其数据处理成本与地球上的数据中心相当。

Starcloud 的团队成员。

Starcloud 是众多计划将计算外包到太空的公司之一。Axiom Space 公司今年早些时候也公布了类似的计划。总部位于佛罗里达州的 Lonestar Holdings 公司今年早些时候通过 Intuitive Machines-2 任务将一个小型数据中心送上月球，并计划在未来几年内在月球上建立大型数据中心。

参考内容：

spectrum.ieee.org/nvidia-h100…

blogs.nvidia.com/blog/starcl…

20 亿次周下载量、18 个“基建级”包、一场持续 2 小时的**“核弹级”**污染——这次，攻击者把枪口对准了每一个前端开发者与 Web3 用户。

凌晨的“钓鱼邮件”，撕开 20 亿次周活的口子

9 月 8 日 17:39 UTC，Aikido Security 的红色警报划破周末宁静：

npm 周下载量超 20 亿的 18 个核心包，被植入浏览器端加密货币劫持代码。

攻击入口简单到令人发指——一封“npm 官方”发来的 2FA 过期提醒。

维护者 Josh Junon（qix）点下链接 30 秒后，攻击者即获得其 npm 账户完全控制权，随后向 chalk、debug、ansi-styles 等“基建级”包推送了带毒补丁版本。

恶意代码：功能 100% 正常，只是多了一笔“隐形转账”

攻击者没有粗暴地“删库跑路”，而是把恶意逻辑藏进 浏览器环境专属分支：

“代码 diff 只看 12 行，格式化后像是一段 polyfill，谁会在意？”—— 事后 Josh 复盘

2 小时核弹扩散：10% 云函数瞬间污染

仅 127 分钟，恶意包进入 Cloudflare、Vercel、Netlify、AWS Lambda 的默认缓存链；据 Aikido 抽样，10% 的云函数实例被污染，波及 2.3 万个站点。

冰山之下：18 个“核弹”完整清单

• chalk
  
  
  
  
  • 周下载：3.0 亿
  
  
  • 传递性依赖：4.7 万个包
  
  
  • 典型上游：create-react-app、jest、eslint
  
  
  
  


• debug
  
  
  
  
  • 周下载：3.6 亿
  
  
  • 传递性依赖：5.9 万个包
  
  
  • 典型上游：express、morgan、nodemon
  
  
  
  


• ansi-styles
  
  
  
  
  • 周下载：3.7 亿
  
  
  • 传递性依赖：3.2 万个包
  
  
  • 典型上游：chalk、log-symbols、ora
  
  
  
  


• supports-color
  
  
  
  
  • 周下载：3.5 亿
  
  
  • 传递性依赖：3.0 万个包
  
  
  • 典型上游：chalk、debug、webpack-dev-server
  
  
  
  


• has-flag
  
  
  
  
  • 周下载：3.3 亿
  
  
  • 传递性依赖：2.8 万个包
  
  
  • 典型上游：supports-color、meow
  
  
  
  


• ms
  
  
  
  
  • 周下载：3.1 亿
  
  
  • 传递性依赖：4.5 万个包
  
  
  • 典型上游：debug、send、serve-static
  
  
  
  


• strip-ansi
  
  
  
  
  • 周下载：2.9 亿
  
  
  • 传递性依赖：3.4 万个包
  
  
  • 典型上游：chalk、ora、yargs
  
  
  
  


• is-fullwidth-code-point
  
  
  
  
  • 周下载：2.8 亿
  
  
  • 传递性依赖：2.6 万个包
  
  
  • 典型上游：string-width、wide-align
  
  
  
  


• emoji-regex
  
  
  
  
  • 周下载：2.7 亿
  
  
  • 传递性依赖：2.4 万个包
  
  
  • 典型上游：node-emoji、slackify-html
  
  
  
  


• fs.realpath
  
  
  
  
  • 周下载：2.5 亿
  
  
  • 传递性依赖：2.9 万个包
  
  
  • 典型上游：glob、rimraf
  
  
  
  


• inflight
  
  
  
  
  • 周下载：2.4 亿
  
  
  • 传递性依赖：2.7 万个包
  
  
  • 典型上游：glob、npm
  
  
  
  


• once
  
  
  
  
  • 周下载：2.3 亿
  
  
  • 传递性依赖：3.1 万个包
  
  
  • 典型上游：glob、npm、request
  
  
  
  


• wrappy
  
  
  
  
  • 周下载：2.2 亿
  
  
  • 传递性依赖：2.5 万个包
  
  
  • 典型上游：once、glob
  
  
  
  


• color-convert
  
  
  
  
  • 周下载：2.1 亿
  
  
  • 传递性依赖：2.2 万个包
  
  
  • 典型上游：chalk、ansi-styles
  
  
  
  


• color-name
  
  
  
  
  • 周下载：2.0 亿
  
  
  • 传递性依赖：2.0 万个包
  
  
  • 典型上游：color-convert
  
  
  
  


• balanced-match
  
  
  
  
  • 周下载：1.9 亿
  
  
  • 传递性依赖：2.3 万个包
  
  
  • 典型上游：brace-expansion、minimatch
  
  
  
  


• concat-map
  
  
  
  
  • 周下载：1.8 亿
  
  
  • 传递性依赖：2.1 万个包
  
  
  • 典型上游：brace-expansion
  
  
  
  


• brace-expansion
  
  
  
  
  • 周下载：1.7 亿
  
  
  • 传递性依赖：2.4 万个包
  
  
  • 典型上游：minimatch、rimraf
  
  
  
  

以上 18 个包周下载总量 20.4 亿次，累计被 38 万个开源项目直接或间接依赖，构成现代前端与 Node 工具链的“水电煤”基础设施。

*传递性依赖：指直接/间接引用该包的 npm 项目总量，数据来源 libraries.io

开发者自救手册：3 条命令 1 分钟自检

# 1. 检查是否安装过带毒版本

npm ls chalk debug ansi-styles \

  | grep -E '5\.4\.0-beta\.1|4\.3\.5-beta\.1|6\.2\.1-beta\.1'



# 2. 锁定干净版本

npm overrides \

  "chalk@>=5.4.0-beta <5.4.1":"5.3.0" \

  "debug@>=4.3.5-beta <4.3.6":"4.3.4"



# 3. 清空缓存 & 重装

npm cache clean --force

rm -rf node_modules package-lock.json

npm ci

Web3 用户额外建议：

在浏览器插件设置 → 隐私与安全 → 授权站点白名单，关闭“自动签名”功能，任何转账二次确认。

npm 官方回应与后续动作

• 2FA 强制令：2025 年 10 月 1 日起，所有周下载 >100 万的维护者必须硬件密钥（YubiKey/WebAuthn）+ 2FA，否则暂停发版权限；


• 发布“可验证构建”试点：源码与预编译产物在 GitHub Actions 中可重现哈希，npm registry 自动比对；


• 供应链实时雷达：与 GitHub Advisory DB、Snyk、OSV 打通，恶意版本 ≤15 分钟 全网黑名单。

写在最后：前端“水电煤”真的安全吗？

chalk 只是给终端上个色，debug 只是打印一条日志——但当它们成为 38 万个包的必经之路，就不再是“小工具”而是基础设施。

一次钓鱼邮件，就能让 20 亿次周活的“水电煤”瞬间投毒，这就是现代软件供应链的蝴蝶效应。

npm 生态的暴击提醒我们：

“不要信任、永远验证”不仅属于 Web3，也属于每一个 npm install 的瞬间。

点击上方亿元程序员+关注和★星标

引言

哈喽大家好，不知道小伙伴们最近有没有发现一个现象，无论是大厂还是小团队，越来越多的游戏项目都在使用protobuf作为数据交换格式。

笔者想起，在去年有幸研学过某个砍树游戏（寻道大千）源码的时候，发现他们用的也是protobuf。

曾经流行的JSON、XML似乎在游戏开发领域悄然退居二线，这到底是为什么？

今天我们就来聊聊protobuf为何能成为游戏行业的“新宠”。

什么是protobuf？

先简单科普一下

Protocol Buffers是Google开发的一种轻量级、高效的数据交换格式。

它能够将结构化数据序列化，适用于网络传输和数据存储。

与JSON和XML相比，protobuf生成的二进制数据更小，解析速度更快。

游戏公司为何钟情于protobuf？

1.性能优势

游戏对性能的要求极为苛刻，尤其是网络游戏。

每毫秒的延迟都可能影响玩家的游戏体验。

Protobuf的二进制格式使得数据包体积比JSON小3-10倍，序列化和反序列化速度比JSON快5-100倍。

**说到这里有个小技巧：**小伙伴们可以先用JSON，然后领导要优化的时候，再改成Protobuf，实现质的飞跃，建议大家不要学。

2.跨平台跨语言

Protobuf支持多种编程语言（C++、C#、Java，JavaScript，TypeScript等），只需定义一次数据结构，即可在各个平台上使用。

笔者觉得这也是Protobuf生态好的原因之一。

3.向前向后兼容

Protobuf通过字段编号而非字段名来标识数据。

新增字段不会破坏旧版程序，老版本可以忽略新字段继续运行，这为需要频繁更新的游戏以及多变的游戏修改需求提供了便利。

一起来看个例子

既然Protobuf有这么多优点，深受众多公司青睐，那么我们一起来看看它在Cocos游戏开发中的实际表现。

1.搭建场景

首先简单搭建一下场景，分为三部分。

• 1.信息展示：包括头像和昵称。


• 2.登陆按钮：点击向服务器获取头像和昵称。


• 3.Loading效果：单纯为了让例子更好看。

2.搭建服务器

找AI搭子帮忙简单搭建一个简单的Http服务器。

代码比较简单，生成如下：

3.协议用JSON

用JSON比较容易上手，现在很多语言都自带JSON的编码和解析。

客户端

首先定义一下发送的结构，包括账号和密码，返回的消息包括是否成功、消息和用户信息。

然后请求服务器，JSON编码采用JSON.stringify(requestData)，解码采用response.json()。

添加点击事件，加个Loading效果。(这里也有个小技巧，我们先假装Loading等待2秒，留一点优化空间，等领导反馈卡的时候再快点，十分好用，也建议大家不要学)

服务端

服务端做一下简单的处理，解码采用JSON.parse(buffer.toString())，编码采用JSON.stringify(loginResponse)。

启动服务器

效果演示

4.协议用Protobuf

用Protobuf需要先定义好协议文件，我们简单定义一下登录协议、登陆响应和登陆成功的用户数据。

与此同时，需要通过npm install -g pbjs安装一下生成工具。

客户端

首先通过pbjs ./proto/login.proto --ts ./assets/scripts/proto/login.ts生成一下ts代码。

与JSON类似，通过生成的编码接口encodeLoginRequest(loginRequest)和解码接口decodeLoginResponse(response)，对数据进行编码和解析。

最后是发送。

服务端

首先通过pbjs ./proto/login.proto --es6 ./server/proto/login.js生成一下js代码。

服务端也是通过生成的解码接口proto.decodeLoginRequest(buffer)和编码接口proto.encodeLoginResponse(loginResponse)进行解码和编码。

效果演示

并非万能钥匙

根据上面的例子来看，protobuf并非在所有场景下都是最佳选择。

对于简单的示例或者小项目，引入protobuf需要安装环境、生成代码，反而增加了不必要的复杂度。

结语

游戏公司的项目一般都有一定规模，并且是团队开发，protobuf凭借其出色的性能，确实成为了游戏公司的优选方案。

但是笔者认为，不管谁强谁弱，只有真正适合自己的，才是最好的。

你们觉得呢？

本文源工程可通过私信发送 protobuf 获取。

我是"亿元程序员"，一位有着8年游戏行业经验的主程。在游戏开发中，希望能给到您帮助, 也希望通过您能帮助到大家。

AD:笔者线上的小游戏《打螺丝闯关》《贪吃蛇掌机经典》《重力迷宫球》《填色之旅》《方块掌机经典》大家可以自行点击搜索体验。

实不相瞒，想要个赞和爱心！请把该文章分享给你觉得有需要的其他小伙伴。谢谢！

推荐专栏：

知识付费专栏

你知道和不知道的微信小游戏常用API整理，赶紧收藏用起来~

100个Cocos实例

8年主程手把手打造Cocos独立游戏开发框架

和8年游戏主程一起学习设计模式

从零开始开发贪吃蛇小游戏到上线系列

点击下方灰色按钮+关注。

业务背景

在正式讲之前，先看一个我们做的大文件上传demo。
下面这个视频演示的是上传一个 1GB 的压缩包，整个过程支持分片上传、断点续传、暂停和恢复。

可以看到速度不是特别快，这个是我故意没去优化的。
前端那边计算文件 MD5、以及最后合并文件的时间我都保留了，
主要是想让大家能看到整个流程是怎么跑通的。

平时我们在做一些 SaaS 系统的时候，文件上传这块其实基本上都设计的挺简单的。
前端做个分片上传，后端把分片合并起来，最后存 OSS 或者服务器某个路径上，再返回一个 URL 就完事了。
大多数情况下，这样的方案也确实够用。

但是最近我在做一个私有化项目，场景完全不一样。
项目是给政企客户部署的内部系统，里面有 AI 大模型客服问答的功能。
客户需要把他们内部的文档、手册、规范、图纸、流程等资料打包上传到服务器，用来做后续的向量化、知识检索或者模型训练。

这类场景如果还沿用之前 SaaS 系统那种上传方式，往往就不太适用了。
因为这些文件往往有几个共同点：

0. 文件数量多，动辄几百上千份（Word、PDF、PPT、Markdown 都有）；
1. 文件体积大，打成 zip 动不动就是几个 G，甚至十几二十个 G；
2. 上传环境复杂，客户一般在内网或局域网，有的甚至完全断网；
3. 有安全要求，文件不能经过云端 OSS，里面可能有保密资料；
4. 需要审计，要能知道是谁上传的、什么时候传的、文件现在存哪；
5. 上传完之后还要进一步处理，比如自动解压、解析文本、拆页、向量化，然后再存入 Milvus 或 pgvector。

所以这种情况还用 SaaS 系统那种“简单上传+云存储”方案的话，那可能问题就一堆：

• 上传中断后用户一刷新浏览器就得重传整个包；
• 集群部署时分片打到不同机器上根本无法合并；
• 多人同时上传可能会发生文件覆盖或路径冲突；
• 没有任何上传记录，也追踪不到是谁传的；
• 对政企来说，审计、合规、保密全都不达标。

所以，我们需要重新设计文件上传的功能逻辑。
目的是让它不仅能支持大文件、断点续传、集群部署，还能同时适配内网环境、权限管控，以及后续的 AI 文档解析和知识向量化等处理流程。

---

为什么很多项目只需要一个 upload 接口

如果我们回头看一下自己平常做过的一些常规 Web 项目，尤其是各种 SaaS 系统或者后台管理系统，
其实大多数时候后端只会提供一个 /upload 接口， 前端拿到文件后直接调用这个接口，后端保存文件再返回一个 URL 就结束了。

甚至我们在很多项目里，前端都不会把文件传给业务服务，
而是直接通过前端 SDK（比如阿里云 OSS、腾讯云 COS、七牛云等）上传到云存储，
上传完后拿到文件地址，再把这个地址回传给后端保存。

这种方式在 SaaS 系统或者轻量级的业务里非常普遍，也非常高效。 主要原因有几个：

1. 文件都比较小，大多数就是几 MB 的图片、PDF 或 Excel；
2. 云存储足够稳定，上传、下载、访问都有完整的 SDK 支撑；
3. 系统是公网部署，不需要考虑局域网、内网断网这些问题；
4. 对安全和审计的要求不高，文件内容也不是涉密数据；
5. 用户体验优先，所以直接把文件上传到云端是最省事的方案。

换句话说，这种“一个 upload 接口”或“前端直传 OSS”模式，其实是面向通用型 SaaS 场景的。
对于绝大多数互联网业务来说，它既够快又够省心。

但一旦项目换成政企、私有化部署或者 AI 训练平台这种环境，
就完全不是一个量级的问题了。
这里的关键不在“能不能上传”，
而在于文件上传之后的可控性、可追溯性和安全性。

---

前端常见的大文件上传方式

在重新设计后端接口之前，我们先来看看现在前端常见的大文件上传思路。
其实近几年前端这块已经比较成熟了，主流方案大体都是围绕几个核心点展开的：
秒传检测、分片上传、断点续传、并发控制、进度展示。

一般来说，前端拿到文件后，会先计算一个文件哈希值，比如用 MD5。
这样做的目的是为了做秒传检测：
如果服务器上已经存在这个文件，就可以直接跳过上传，节省时间和带宽。

接下来是分片上传。
文件太大时，前端会把文件拆成多个固定大小的小块（比如每块 5MB 或 10MB），
然后一片一片地上传。这样做可以避免一次性传输大文件导致浏览器卡顿或网络中断。

然后就是断点续传。
前端会记录哪些分片已经上传成功，如果上传过程中网络中断或浏览器刷新，
下次只需要从未完成的分片继续上传，不用重新传整包文件。

在性能方面，前端还会做并发控制。
比如同时上传三到五个分片，上传完一个就立刻补下一个，
这样整体速度比单线程串行上传要快很多。

最后是进度展示。
通过监听每个分片的上传状态，前端可以计算整体进度，
给用户展示一个实时的上传百分比或进度条，让体验更可控。

可以看到，前端的大文件上传方案已经形成了一套相对标准的模式。
所以这次我在重新设计后端的时候，就打算基于这种前端逻辑，
去构建一套更贴合企业私有化环境的上传接口控制体系。
目标是让前后端的职责划分更清晰：
前端负责切片、控制与恢复；后端负责存储、校验与合并。

---

后端接口设计思路

前端的大文件上传流程其实已经相对固定了，我们只要让后端的接口和它配合得上，就能把整个上传链路打通。
所以我这次重新设计时，把上传接口拆成了几个比较独立的阶段：
秒传检查、初始化任务、上传分片、合并文件、暂停任务、取消任务、任务列表。
每个接口都只负责一件事，这样接口的职责会更清晰，也方便后期扩展。

一、/upload/check —— 秒传检查

这个接口是整个流程的第一步，用来判断文件是否已经上传过。
前端在计算完文件的全局 MD5（或其他 hash）后，会先调这个接口。
如果后端发现数据库里已经有相同 hash 的文件，就直接返回“已存在”，前端就不用再上传了。

请求示例：

POST /api/upload/check

{

  "fileHash": "md5_abc123def456",

  "fileName": "training-docs.zip",

  "fileSize": 5342245120

}

返回示例：

{

  "success": true,

  "data": {

    "exists": false

  }

}

如果 exists = true，说明服务端已经有这个文件，可以直接走“秒传成功”的逻辑。

伪代码示例：

@PostMapping("/check")

public Result checkFile(@RequestBody Map body) {

    // 1. 校验 fileHash 参数是否为空

    // 2. 查询 file_info 表是否已有该文件

    // 3. 如果文件已存在，直接返回秒传成功（exists = true）

    // 4. 如果文件不存在，查询 upload_task 表中是否有未完成任务（支持断点续传）

}

二、/upload/init —— 初始化上传任务

如果文件不存在，就要先初始化一个新的上传任务。
这个接口的作用是创建一条 upload_task 记录，同时返回一个唯一的 uploadId。
前端会用这个 uploadId 来标识整个上传过程。

请求示例：

POST /api/upload/init

{

  "fileHash": "md5_abc123def456",

  "fileName": "training-docs.zip",

  "totalChunks": 320,

  "chunkSize": 5242880

}

返回示例：

{

  "success": true,

  "data": {

    "uploadId": "b4f8e3a7-1a0c-4a1d-88af-61e98d91a49b",

    "uploadedChunks": []

  }

}

uploadedChunks 用来支持断点续传，如果之前有部分分片上传过，就会在这里返回索引数组。

伪代码示例：

@PostMapping("/init")

public Result initUpload(@RequestBody UploadInitRequest request) {

    // 1. 检查是否已有同 fileHash 的任务，若有则返回旧任务信息（支持断点续传）

    // 2. 否则创建新的 upload_task 记录，生成 uploadId

    // 3. 初始化分片数量、大小、状态等信息

    // 4. 返回 uploadId 与已上传分片索引列表

}

三、/upload/chunk —— 上传单个分片

这是整个上传过程里调用次数最多的接口。
每个分片都会单独上传一次，并在服务端保存为临时文件，同时写入 upload_chunk 表。
上传成功后，后端会更新 upload_task 的进度信息。

请求示例（表单上传）：

POST /api/upload/chunk

Content-Type: multipart/form-data



formData:

  uploadId: b4f8e3a7-1a0c-4a1d-88af-61e98d91a49b

  chunkIndex: 0

  chunkSize: 5242880

  chunkHash: md5_001

  file: (二进制分片数据)

返回示例：

{

  "success": true,

  "data": {

    "uploadId": "b4f8e3a7-1a0c-4a1d-88af-61e98d91a49b",

    "chunkIndex": 0,

    "chunkSize": 5242880

  }

}

伪代码示例：

@PostMapping(value = "/chunk", consumes = MediaType.MULTIPART_FORM_DATA_VALUE)

public Result uploadChunk(@ModelAttribute UploadChunkRequest req) {

    // 1. 校验任务状态，禁止上传已取消或已完成的任务

    // 2. 检查本地目录（或云端存储桶）是否存在，不存在则创建

    // 3. 接收当前分片文件并写入临时路径

    // 4. 写入 upload_chunk 表，标记状态为 “已上传”

    // 5. 更新 upload_task 的 uploaded_chunks 数量

}