前言

前段时间，我司的官网要改版。老板们手一挥，提出了以下几点需求

• 网站要大气，炫酷，有科技感


• 图片文字要高大上


• 注重SEA、SEO优化，用户查找关键字后，我们公司的网站排名要显示在前列

为此，我们还专门买了一个SEO优化的课程，大张旗鼓的学习了一通。至于效果如何，1个月见分晓

那么如何编写 JavaScript 代码以有利于 SEO 和 SEA 呢？

下面仅展示被被谷歌搜索引擎收录的

SEA、SEO优化

保持好的网页结构

1. 使用语义化的 HTML结构

HTML语义化是指使用恰当的HTML标签来描述网页内容的结构和含义，以提高网页的可读性、可访问性和搜索引擎优化。

• header: 网站的页眉部分


• nav: 定义网站的主要导航链接


• main: 定义页面的主要内容区域，每个页面应该只有一个<main>标签


• section: 定义页面中的独立区块, 例如文章、产品列表等


• article: 定义独立的文章内容，通常包含标题、作者、发布日期等信息


• aside: 定义页面的侧边栏或附属信息区域


• footer: 网站的页脚部分

<header>

  <h1>官网</h1>

  <nav>

      <ul>

        <li><a href="#">首页</a></li>

        <li><a href="#">关于我们</a></li>

        <li><a href="#">联系我们</a></li>

      </ul>

  </nav>

</header>



<main>

  <div>欢迎来到我们的网站</div>

  <p>这里是网站的主要内容。</p>

</main>





<section>

    <h2>最新文章</h2>

    <article>

        <h3>文章标题</h3>

        <p>文章内容...</p>

    </article>

    <article>

        ...

    </article>

</section>





<aside>

  <h3>最新消息</h3>

  <ul>

    <li><a href="#">链接1</a></li>

    ...

  </ul>

</aside>



<article>

  <h2>消息1</h2>

  <p>文章内容...</p>

</article>





<footer>

  <p>版权所有 &copy; 2023</p>

  <p>联系我们：info@example.com</p>

</footer>

2. 提供准确且吸引人的页面标题和描述

准确且简洁的标题和描述，有利于吸引访问者和搜索引擎的注意

• 页面标题: Title


• 页面描述: Meta Description

<head>

  <title>精美手工艺品——手工制作的独特艺术品</title>

  <meta name="description" content="我们提供精美手工艺品的设计与制作，包括陶瓷、木雕、织物等。每件艺术品都是独一无二的，以精湛的工艺和创造力打动您的心灵。欢迎浏览我们的作品集。">

</head>

标题要小于50个字符，描述要小于150字符

3. 
   

   在关键位置使用关键字: 包括标题、段落文本、链接文本和图片的 alt 属性。

   
   
   
   
   • 段落文本: 自然的使用关键字，有助于搜索引擎收录
   
   
   • 链接文本: 使用描述性的链接文本，并在其中包含关键字，这有助于搜索引擎理解链接指向的内容
   
   
   • 图片的 alt 属性: 对于每个图像，使用描述性的 alt 属性来说明图像内容，并在其中包含关键字。这不仅有助于视力障碍用户理解图像，还可以提供关键字相关的图像描述给搜索引擎。
   
   
   
   

<h1>欢迎来到精美手工艺品网店</h1>

<p>我们提供各种精美手工艺品，包括陶瓷、木雕、织物等。每个艺术品都是由我们经验丰富的工匠手工制作而成，展现了精湛的工艺和创造力。</p>

<p>浏览我们的<a href="/products" title="手工艺品产品列表">产品列表</a>，您将发现独特的艺术品，适合作为礼物或收藏。</p>

<img src="product.jpg" alt="陶瓷花瓶 - 手工制作的精美艺术品" />

一个页面要保证有且只有h1标签

使用友好的 URL 结构

使用友好的URL结构是一个重要的优化策略，它可以提升网站的可读性、可维护性和用户体验

• 使用关键字: 在URL中使用关键字，以便用户和搜索引擎可以更好地理解页面的主题和内容, URL中多个关键词使用连字符字符 "-"进行分隔。


• 结构层次化: 层次化的URL结构来反映内容的结构和关系


• 避免使用参数: 尽量避免在URL中使用过多的参数，特别是使用随机字符串或数字作为参数


• 尽量使用永久链接: 尽可能使用永久链接，避免频繁更改URL


• 尽量保持URL简洁: 避免过长的URL。短连接更易于分享和记忆

<!-- 不友好的URL -->

https://example.com/index.html?category=7&product=12345

https://example.com/qinghua/porcelain



<!-- 友好的URL -->

https://example.com/porcelain/qinghua

https://example.com/blog/friendly-urls

1. 重要链接不要用JS

搜索引擎爬虫通常不会执行 JavaScript，并且依赖 JavaScript 的链接可能无法被爬虫正确解析和索引

使用标准的 <a> 标签进行跳转，避免使用 JavaScript 跳转

2. 使用W3C规范

使用W3C规范是确保你的网页符合Web标准并具有良好可访问性的重要方式

不符合W3C的规范：

• 未闭合的标签


• 未正确嵌套的元素


• 行内元素包裹块状元素

<!-- 未闭合的标签 -->

<p>This is a paragraph with no closing tag.

<!-- 未正确嵌套的元素 -->

<div><p>This paragraph is inside a div but not closed properly.</div></p>

<!-- 行内元素包裹块状元素 -->

<span><p>This paragraph is inside a div but not closed properly.</p></span>

响应式设计和移动优化

Google 现在使用了移动优先索引, 搜索引擎更倾向于优先索引和显示移动友好的网页。

使用响应式设计，使你的网页在各种设备上都能正确显示。

1. 响应式设计：确保网页具有响应式设计，能够适应不同设备的屏幕尺寸


2. 关注移动友好性：确保网页在移动设备上加载和显示良好

JavaScript使用和加载优化

搜索引擎爬虫通常不会执行 JavaScript，并且在抓取和索引页面时可能会忽略其中的动态内容

1. 
   

   加载时间优化: 通过压缩和合并 JavaScript文件，减小文件大小，以及使用异步加载和延迟加载的方式，可以提高网页的加载速度

   
   


2. 
   

   避免使用AJAX技术加载核心内容: 对于核心内容，避免使用 AJAX 或动态加载方式，而是在初始页面加载时就呈现。这样可以确保搜索引擎能够正确抓取和索引核心内容，提高网页的可见性和相关性。

   
   


3. 
   

   减少懒加载、瀑布流、上拉刷新、下载加载、点击更多等互动加载: 这些常见的页面优化方式虽然有利于用户体验。但搜索引擎爬虫不会执行 JavaScript，并且在抓取和索引页面时可能会忽略其中的动态内容。

   
   


4. 
   

   js阻塞后保证页面正常运行: 确保网站在没有 JavaScript 的情况下仍然能够正常运行。这有助于搜索引擎爬虫能够正确索引你的网页内容。

   
   

性能和体验优化

1. 提高网站加载速度: 搜索引擎和用户都更喜欢快速加载的网页，提高页面的转加载速度，会对搜索引擎排名产生积极影响。


2. 优化移动体验: 在移动设备上，用户的粘性和耐心被放大，优化移动体验，减少用户的流失率，会对移动搜索排名产生积极影响。


3. 无障碍: 在 Web 开发无障碍性意味着使尽可能多的人能够使用 Web 站点, 增加用户人群的受众，会提高搜索引擎排名

内容更新

1. 内容持续更新: 搜索引擎比较喜欢新鲜的内容，如果网站内容长期不更新的话，搜索引擎就会厌烦我们的网站。反之，我们频繁的更新新闻、博客等内容，会大大的提高


2. 网页数量尽可能的多： 尽可能的让网页超过15个，

频繁修改或调整网站结构的话就相当于修改了搜索引擎爬取网站的路径，导致网站即使更新再多的内容也难以得到收录

监测

索引

在浏览器中输入 site:你的地址（此方法仅适合谷歌，百度则直接搜索URL地址）

查看是否被索引

1. 进入Google Search Console


2. 进入URL检测工具。


3. 将需要索引的URL粘贴到搜索框中。


4. 等待谷歌检测URL。


5. 点击“请求编入索引”按钮。

收录

点击网址检查: 如果页面被索引，那么会显示“URL is on Google（URL在谷歌中）”。

如何去收录

但是，请求编入收录索引不太可能解决旧页面的索引问题，并且这只是一个最原始的方式，提交链接不能确保你的URL一定被收录，尤其是百度。

参考11个让百度快速收录网站的奇思淫技

总结

持续的优化和监测是关键，以确保你的策略和实践符合不断变化的搜索引擎算法和用户需求。

期待一个月后见分晓啦！

参考文献

1. 11个让百度快速收录网站的奇思淫技


2. search


3. JavaScript与SEO之间的藕断丝连关系<
   
   作者：高志小鹏鹏
   来源：juejin.cn/post/7251786985535275067
   /a>

经常在技术社区看到有小白提问如何提升技术水平，我也曾是小白，我也曾经问过这个问题，我也不是什么天赋异禀之人，和大部分人都一样，所以我能够理解小白在问这个问题时的感受，作为过来人，解决这个问题的路径其实是非常清晰的，网上这类的答案也很多，不过看过我文章的读者都应该能够感觉到我是个比较务实的人，对于冠冕堂皇实际上屁用没有的东西不太感冒，所以我的这篇文章可能跟其他人的不要太一样，我只从实际出发，谈谈我的想法

以下内容对于大部分 0-3年经验的小白都适用，仅针对想靠这行混碗饭吃的人（这类人才是这个行业的主力军），天赋异禀的少数群体看个乐子就行

基础知识必须掌握

在 React、Vue 大行其道的当下，我见过很多人竟然连基本的 js api 都搞不清楚，方法不知道，参数不清楚，掌握的少的可怜的 js 知识，比如 requestAnimationFrame、Object.defineProperty等还都纯粹是因为跟 vue、react扯上了关系面试要用所以才看了两眼，我无法理解如果连基础知识都掌握不了的话，又该如何去 深入 理解这些框架？

实际工作用的确实也是框架，很少有需要用原生 js 去实现什么复杂功能的地方，但这并不代表这不重要，恰恰相反，如果不是急着要找工作的话，比如在校大学生，我认为还是先把基础弄清楚，再顺带着学一学框架，无论是什么框架，都是对于底层技术的封装，react、vue等框架更新的确实很快，很多人都在说学不动了，实际上是你学错了，这些上层的东西根本不需要追着学，它们只是趁手的工具，工具是为你所服务的，但现在你却说工具让你追得很累，这本身就是有问题的

我上大学的时候，那个还是 angular 市场占有率最高，我那个时候也学了 angular，但是现在我再看 angular发现早就不是当初我学的那个东西了，假设我现在需要用到 angular，现在学和一路追着 angular那么多版本更新一个个学下来，有区别吗？没区别，都是工具，只要能实现功能就行了，我管你是 angular还是 react，管你是 vue2.x 还是 vue3.x，反正对着文档一把梭就行了，都是基于 js的 dsl封装罢了，无非是玩得花不花而已

你可能会说，现在都在用框架，面试问的也是框架知识，基础知识知不知道有什么关系平时根本用不到啊，我并不认同，我就举个例子，经常看到有人说问

只学过vue，现在工作需要用react，怎么办，react好学吗？

我看了就很迷惑，你要是问我vue、react牛不牛逼，我肯定会伸出大拇指绝对牛逼，但你要问我难不难学，那我不能理解了，不就是一个框架吗有什么难不难好不好学的，我只能猜测这人可能一上来就是跟风学了vue，啥基础知识都不懂，要是老老实实先掌握了基础知识，再顺手学个框架，好好研究下框架与基础之间的通用关系，根本不会问这个问题

我不否认有些小众的东西确实难以理解，但像vue、react这种市场占有率很高的大众化框架，不可能存在什么技术门槛的，管你是React还是 Svelte，一天看文档，两天速通，三天上手写业务就是标准流程

当然了，想深入还是要花费些功夫的，但是恕我直言，以绝大多数人（包括我自己）写的业务屎山的逻辑难度而言，根本不需要什么深度技术，深入学习研究更多的是提升自己的认知水平

为了快速找工作，你可以在什么基础知识都不懂的情况下就跟风学框架，问题不大，毕竟吃饭要紧，但是如果你想把饭碗尽可能拿的更久一点或者更进一步，跳过的东西，你必须要再捡回来

另外，多提一嘴，前端三剑客包括 js、css、html，虽然后两者的重要程度远不能跟 js 相提并论，但既然是基础知识，都还是需要掌握的，作为一名业务前端，总不能跟别人说你不太懂 css吧？

多看

如何掌握基础知识，首先你得知道有哪些基础知识，你作为一个啥也不懂一片空白的新人，了解这个领域最应该做的事情就是多看，看什么？看书、看视频

看书

关于前端书籍推荐的话题或者书单等，网上已经有很多了，我就不再赘述了，不过我发现有些书单也太特么长了，几十上百本书哪有那么多时间去看，好多我名字都没听过也往上凑，这可能会让很多人打退堂鼓，甚至直接摆烂，先进收藏夹再说，至于什么时候看就再说吧

如果只谈基础知识的，我认为只有两本书是必须要看的，《JavaScript高级程序设计》和《JavaScript权威指南》，也就是常说的红宝书和犀牛书，这两本书比较厚，但相比于几十上百本书而言，已经很明确了很清晰了，只需要看这两本就行了，是必须要看的，由于这两本书都是出版了较长时间的书籍，一些更新的内容没有包括在内，那么这部分知识就需要自行去网上获取了，比如 ECMAScript 6 入门

至于其他的几十上百本，说实话，看哪本都行，不是说其他书不重要，哪本书都有其存在的意义，但只是相比于这两本没那么重要，多看肯定比不看强，这两本书是必看的综合基础，其他书是在你在掌握了基础之后，根据你的实际情况，提升在不同细分领域水平的助攻

技术社区上的文章也姑且算是书的一种形式吧，零散的文章用于开阔视野紧跟潮流风向，系列文章用于加深在细分领域的认知

看视频

我知道很多人看不起视频学习的，认为效率太低，除此之外还因为跟培训班扯上关系，也让很多自诩清高的人认为太low拉低自己的层次，所以对于看视频学习持否定态度

首先，我也认为看视频学习确实效率很低，但你得分清是对什么层次的人来说的

对于有了三年（只是大概估个数，少部分人可能只需要一年）以上工作经验的人来说，再看视频学习，那确实效率太低了，但是对于三年以下甚至是初识技术世界的小白来说，看视频的效率不是低，而是高，年限越低，看视频学习的效率越高，直到突破了三年这个节点后，看视频学习的效率才开始低于看书

我就是从小白过来的，我很清楚小白对于技术的认知是什么样的，那真是狗屁不通，让这样的人抱着厚厚的一本书在那看，每个字都认识，可一连起来就不知道为什么这样了，书籍内的世界虽然无比广阔，但无人指引，你跑了半天可能还在绕着圈，天地再大与你何干？

但视频就不同了，视频承载的信息量远低于书籍，但那却能给你更清晰的指引，一步步地告诉你该怎么走，万事开头难，入门的时候慢一点没关系，主要是要能入门，入对门，而不是像无头苍蝇一样乱撞

鄙人就是靠视频入门的，一开始大学里学的是 java，但后来对前端感兴趣，转投前端，只能自学，但又不知如何下手，明知道红宝书和犀牛书是很好的书籍，奈何看着看着就想睡觉，每个字都能看懂，但一合上书就忘了今天看了啥，机缘巧合之下在某专门卖视频课的网站买了视频开始学习，这才逐步进入正轨，一改之前苦大仇恨不得要领，每天跟着视频课都学得很开心，因为能学进脑子里了，每天都能感觉到自己又多进步了一点，如此良性循环才算是入了门，入了门之后，才终于具备了自学的能力，因为知道路在哪里了，知道该怎么走了

视频的信息量低吗？低，无论是以前还是现在我都这么认为

但视频课的效率一定低吗？不一定，对于已经入了门有了足够经验的人来说，效率是低的，因为确实信息密度低嘛，但对于小白来说，重要的是要先入门，哪种方式能先入门哪种方式才是效率高的

掘金小册我认为是介于书籍和视频之间的一种形式，兼顾了二者的部分优点

多写

看了不一定就是会了，必须要亲自上手写才能考验出是否是真的懂了，看视频或者看书，每一页都能看懂，但是真正让你写了却不知道如何下手，那不叫懂，上学时对着答案做题就没有不会的，但没了答案或者换了个形式你就不会了，那不叫会

写什么？写所有你能写的代码，无论是什么代码

写多少？能写多少是多少，写得越多越好

有小白曾问过我，说他看别人写的代码都能看懂也能理解，但是让自己独立写的话，他就不知道该怎么写了，为什么会出现这种情况？我想都不想就知道这人代码写得太少了

这一行绝大部分人干的活，包括一些所谓的大厂员工（比如我），实际上真的都只是搬砖活而已，根本不需要太高的技术含量，也就是远不到比拼智商的时候，只要你智商和别人差得不太多，那么别人能够做到的事情，你肯定也能做到，如果你做不到，只是因为你懒罢了

这么说吧，我认为对于大多数人来说，如果他们有机会从一开始就进入并夕夕过上 997 的工作模式，只要不是真的智商有问题，那么经过了两年的高强度输出之后，技术能力怎么也能达到这个行业的中上水准，这就是多写带来的收益

你一年写得代码比其他人三年写得还多，一些代码编写规范或者设计模式你背都背下来了，水平还能怎么低？

没错，虽然zz不正确，但我依然鼓励加班，但，需要注意前提

前提是你是个初入技术大门的小白（老油条就没必要掺和了，瞎内卷），想快速提升技术水平不怕吃苦，只是想靠这行混碗饭并不天赋异禀，年轻力壮有冲劲，且你在的公司确实能让你学到一些东西。

有些人可能会说，想多写代码不一定非要加班啊，我完全可以自己整个项目自己写，我的看法是，可以当然可以，但恕我直言，你自己捣鼓的那个东西也就是个 Demo，你不面对复杂多变的需求，没有庞大的用户体量，没有苛刻的产品、测试，你是很难碰到有意义的问题的，毕竟自己写的东西自己怎么看都是对的

也有人会说，公司确实清闲，没啥需要加班的怎么办？好办啊，我从业那么多年，我还就没见过完美的项目，绝大多数情况下都是问题一个接一个的屎山，屎山虽然满是毒，但如果你能摸索着尝试改善屎山，在实践中去思考去总结去行动，对你的提升速度可比光看书强得多得多了。但是，必须要注意，自己折腾可以，千万要注意安全，别把跑得好好的屎山给整塌方了

加班是给自己加的，如果你在加班之后，完全感觉不到自己有什么收获只是想骂公司傻x，那么就没必要加这个班了

多思考

如果你能做到前一条的话，再做这一条就是顺理成章的事情了（除非你懒）

我刚入门编程的时候，完全不理解函数是什么，为什么要抽离函数，我只知道人家都说抽离函数好，所以我就抽离，至于为什么抽离、什么时候抽离、怎么抽离，我一概不知，只是照葫芦画瓢，我没有专门去理解这件事，因为我尝试过但是理解不了（就是笨吧），于是就不管了，但忽然有一天我发现我不知道什么时候已经理解这回事了，想了半天，我只能归结于我写代码写多了，自动理解了

但这不是一蹴而就的，这是一个逐渐积累的过程，可能我在每次封装函数的时候都会思考一点，我为什么封装了这个函数，给我带来了哪些好处，那么当我写得代码足够多，封装的函数足够多之后，我就完全理解了这回事

写代码的时候要思考，为什么我要这么写，还有没有更好的写法？相同的逻辑，别人是那样写的，我是这样写的，差别是什么，各自有什么优缺点？这个代码把我坑惨了，要是下次换我来写，我会怎么设计？

不必专门腾出时间来冥想，这些思考完全可以是零碎的、一闪而过的念头，但必须要有这种习惯，当你写得足够多的时候，这些零散的思考汇聚起来终有一天能给你带来别样的启发

小结

绝大部分人（包括我）所能用上的技术，都谈不上高深，并不需要什么天赋，确实就只是熟能生巧的事情，辛苦一两年，把这些熟练掌握，然后后面才有余力去做技术之外的事情，当然，你也会发现，相比于这些事情，

1 前言

最近在开发中遇到文件上传采用Base64的方式上传，记得以前刚开始学http上传文件的时候，都是通过content-type为multipart/form-data方式直接上传二进制文件，我们知道都通过网络传输最终只能传输二进制流，所以毫无疑问他们本质上都是一样的，那么为什么还要先转成Base64呢？这两种方式有什么区别？带着这样的疑问我们一起来分析下。

2 multipart/form-data上传

先来看看multipart/form-data的方式，我在本地通过一个简单的例子来查看http multipart/form-data方式的文件上传，html代码如下

<!DOCTYPE html>

<html>

<head>

    <title>上传文件示例</title>

    <meta charset="UTF-8">

<body>

<h1>上传文件示例</h1>

<form action="/upload" method="POST" enctype="multipart/form-data">

    <label for="file">选择文件：</label>

    <input type="file" id="file" name="file"><br>

    <label for="tx">说明：</label>

    <input type="text" id="tx" name="remark"><br><br>

    <input type="submit" value="上传">

</form>

</body>

</html>

页面展示也比较简单

选择文件点击上传后，通过edge浏览器f12进入调试模式查看到的请求信息。

请求头如下

在请求头里Content-Type 为 multipart/form-data; boundary=----WebKitFormBoundary4TaNXEII3UbH8VKo，刚开始看肯定有点懵，不过其实也不复杂，可以简单理解为在请求体里要传递的参数被分为多部份，每一部分通过分解符boundary分割，就比如在这个例子，表单里有file和remark两个字段，则在请求体里就被分为两部分，每一部分通过boundary=----WebKitFormBoundary4TaNXEII3UbH8VKo来分隔（实际上还要加上CRLF回车换行符，回车表示将光标移动到当前行的开头，换行表示一行文本的结束，也就是新文本行的开始）。需要注意下当最后一部分结尾时需要加多两个"-"结尾。

我们继续来看请求体

第一部分是file字段部分，它的Content-Type为image/png，第二部分为remark字段部分，它没有声明Content-Type，则默认为text/plain纯文本类型，也就是在例子中输入的“测试”，到这里大家肯定会有个疑问，上传的图片是放在哪里的，这里怎么没看到呢？别急，我猜测是浏览器做了特殊处理，请求体里不显示二进制流，我们通过Filder抓包工具来验证下。

可以看到在第一部分有一串乱码显示，这是因为图片是二进制文件，显示成文本格式自然就乱码了，这也证实了二进制文件也是放在请求体里。后端使用框架springboot通过MultipartFile接受文件也是解析请求体的每一部分最终拿到二进制流。

@RestController

public class FileController {

    // @RequestParam可接收Content-Type 类型为：multipart/form-data 

    // 或 application/x-www-form-urlencoded 请求体的内容

    @PostMapping("/upload")

    public String upload(@RequestParam("file") MultipartFile file) {

        return "test";

    }

}

到此multipart/form-data方式上传文件就分析完了，关于multipart/form-data官方说明可参考 RFC 7578 - Returning Values from Forms: multipart/form-data (ietf.org)

3 Base64上传

在http的请求方式中，文件上传只能通过multipart/form-data的方式上传，这样一来就会有比较大的限制，那有没其他方式可以突破这一限制，也就是说我可以通过其他的请求方式上传，比如application/json？当然有，把文件当成一个字符串，和其他普通参数没什么两样，我们可以通过其他任意请求方式上传。如果转成了字符串，那上传文件就比较简单了，但问题是我们怎么把二进制流转成字符串，因为这里面可能会有很多“坑”，业界一般的做法是通过Base64编码把二进制流转成字符串，那为什么不直接转成字符串而要先通过Base64来转呢？我们下面来分析下。

3.1 Base64编码原理

在分析原理之前，我们先来回答什么是Base64编码？首先我们要知道Base64只是一种编码方式，并不是加解密算法，因此Base64可以编码，那也可以解码，它只是按照某种编码规则把一些不可显示字符转成可显示字符。这种规则的原理是把要编码字符的二进制数每6位分为一组，每一组二进制数可对应Base64编码的可打印字符，因为一个字符要用一个字节显示，那么每一组6位Base64编码都要在前面补充两个0，因此总长度比编码前多了(2/6) = 1/3，因为6和8最小公倍数是24，所以要编码成Base64对字节数的要求是3的倍数（24/8=3字节），对于不足字节的需要在后面补充字节数，补充多少个字节就用多少个"="表示（一个或两个），这么说有点抽象，我们通过下面的例子来说明。

我们对ASCII码字符串"AB\nC"(\n和LF都代表换行)进行Base64编码，因为一共4字节，为了满足是3的倍数需要扩展到6个字节，后面补充了2个字节。

表3.1

转成二级制后每6位一组对应不同颜色，每6位前面补充两个0组成一个字节，最终Base64编码字符是QUIKQw==，Base64编码表大家可以自行网上搜索查看。

我们通过运行程序来验证下

最终得出的结果与我们上面推理的一样。

3.2 Base64编码的作用

在聊完原理之后，我们继续来探讨文件上传为什么要先通过Base64编码转成字符串而不直接转成字符串？一些系统对特殊的字符可能存在限制或者说会被当做特殊含义来处理，直接转成普通字符串可能会失真，因此上传文件要先转成Base64编码字符，不能把二进制流直接字符串。

另外，相比较multipart/form-data Base64编码文件上传比较灵活，它不受请求类型的限制，可以是任何请求类型，因为最终就是一串字符串，相当于请求的一个参数字段，它不像二进制流只能限定multipart/form-data的请求方式，日常开发中，我们用的比较多的是通过apllication/json的格式把文件字段放到请求体，这种方式提供了比较便利的可操作性。

4 总结

本文最后再来总结对比下这两种文件上传的方式优缺点。

（1）multipart/form-data可以传输二进制流，效率较高，Base64需要编码解码，会耗费一定的性能，效率较低。

（2）Base64不受请求方式的限制，灵活度高，http文件二进制流方式传输只能通过multipart/form-data的方式，灵活度低。

因为随着机器性能的提升，小文件通过二进制流传输和字符串传输，我们对这两种方式时间延迟的感知差异并不那么明显，因此大部分情况下我们更多考虑的是灵活性，所以采用Base64编码的情况也就比较多。

简单的 HTTP 协议本身并不存在安全性问题,因此协议本身几乎不会成为攻击的对象。应用 HTTP 协议的服务器和客户端,已经运行在服务器上的 Web 应用等资源才是攻击目标。

在客户端即可篡改请求

在 Web 应用中,从浏览器那接收到的 HTTP 请求的全部内容,都可以在客户端自由地变更、篡改。所以 Web 应用可能会接收到与预期数据不相同的内容。

在 HTTP 请求报文内加载攻击代码,就能立发起对 Web 应用的攻击,通过 URL 查询字段或表单、HTTP 首部、Cookie 等途径吧攻击代码传入,若这时 Web 应用存在安全漏洞,那内部信息就会遭到窃取,或被攻击者拿到管理权限。

针对 Web 应用的攻击模式

对 Web 应用的攻击模式有以下两种:

• 主动攻击;


• 被动攻击;

以服务器为目标的主动攻击

主动攻击是指攻击者通过直接访问 Web 应用,把攻击代码传入的模式,由于该模式是直接针对服务器上的资源进行攻击,因此攻击者能够访问到那些资源。

主动攻击模式里面具有代表性的攻击是 SQL 注入攻击和 OS 命令注入攻击。

以服务器为目标的被动攻击

被动攻击是指利用圈套策略执行攻击代码的攻击模式,在被动攻击过程中,攻击者不直接对目标 Web 应用访问发起攻击。

被动攻击通常的攻击模式如下所示:

1. 攻击者诱使用户触发已设置好的陷阱,而陷阱会启动发送已嵌入攻击代码的 HTTP 请求;


2. 当用户不知不觉中招之后,用户的浏览器或邮件客户端会触发这个陷阱;


3. 中招后的用户浏览器会把含有攻击代码的 HTTP 请求发送给作为攻击目标的 Web 应用,运行攻击代码;


4. 执行完攻击代码，存在安全漏洞的 Web 应用会成为攻击者的跳板,可能导致用户所持的 Cookie 等个人信息被窃取,登录状态中的用户权限遭恶意滥用等后果。

被动攻击模式中具有代表性的攻击是跨站脚本攻击和跨站点请求伪造。

利用被动攻击,可发起对原本从互联网上无法直接访问的企业内网等网络的攻击。只要用户踏入攻击者预先设好的陷阱,在用户能够访问到的网络范围内,即使是企业内网也同样会受到攻击。

因输出值转移不完全引发的安全漏洞

实施 Web 应用的安全对策可大致分为以下两部分:

• 客户端的验证;


• Web 应用端的验证:
  
  
  
  • 输入值验证;
  
  
  • 输出值转义;
  
  
  
  

因为 JavaScript 代码可以在客户端随便修改或者删除,所以不适合将 JavaScript 验证作为安全的方法策略。保留客户端验证只是为了尽早地辨识输入错误,起到提高 UI 体验的作用。

输入值验证通常是指检查是否是符合系统业务逻辑的数值或检查字符编码等预防对策。

从数据库或文件系统、HTML、邮件等输出 Web 应用处理的数据之际,针对输出做值转义处理是一项至关重要的安全策略。当输出值转义不完全时,会因触发攻击者传入的攻击代码,而给输出对象带来损害。

跨站脚本攻击

跨站脚本攻击(Cross-Site Scripting,XSS)是指通过存在安全漏洞的 Web 网站注册用户的浏览器内运行非法的 HTML 标签或 JavaScript 进行的一种攻击。动态创建的 HTML 部分有可能隐藏这安全漏洞。就这样,攻击者编写脚本设下陷阱,用户在自己的浏览器上运行时,一不小心就会受到被动攻击。

跨站脚本攻击有可能造成一下影响:

• 利用虚假输入表单骗取用户个人信息;


• 利用脚本窃取用户的 Cookie 值,被害者在不知情的情况下,帮助攻击者发送恶意请求;


• 显示伪造的文章或图片;

跨站脚本攻击案例

在动态生成 HTML 处发生

下面以编辑个人信息页面为例讲解跨站脚本攻击,下放界面显示了用户输入的个人信息内容:

确认姐妹按原样显示在编辑解密输入的字符串。此处输入带有山口伊朗这样的 HTML 标签的字符串。

那如果我把输入的内容换成一段 JavaScript 代码呢,阁下又该如何应对?

<script>

  alert("落霞与孤鹜齐飞,秋水共长天一色!");

</script>

XSS 是攻击者利用预先设置的陷阱触发的被动攻击

跨站脚本攻击属于被动攻击模式,因此攻击者会事先布置好用于攻击的陷阱。

下图网站通过地址栏中 URI 的查询字段指定 ID,即相当于在表单内自动填写字符串的功能。而就在这个地方,隐藏着可执行跨站脚本攻击的漏洞。

充分熟知此处漏洞特点的攻击者,于是就创建了下面这段嵌入恶意代码的 URL。并隐藏植入事先准备好的欺诈邮件中或 Web 页面内,诱使用户去点击该 URL。

浏览器打开该 URI 后,直观感觉没有发生任何变化,但设置好的脚本却偷偷开始运行了。当用户在表单内输入 ID 和密码之后,就会直接发送到攻击者的网站,导致个人登录信息被窃取。

之后,ID 及密码会传给该正规网站,而接下来仍然是按正常登录步骤,用户很难意识到自己的登录信息已遭泄露。

除了在表单中设下圈套之外,下面那种恶意构造的脚本统一能够通过跨站脚本攻击的方式,窃取到用户的
Cookie 信息:

const cookie = document.cookie;

执行上面这段 JavaScript 程序,即可访问到该 Web 应用所处域名下的 Cookie 信息,然后这些信息会发送至攻击者的 Web 网站,记录在它的登录日志中,攻击者就这样窃取到用户的 cookie 信息了。

React 中通过 JSX 语法转义来防止 XSS。在 JSX 语法中,可以通过花括号 {} 插入 JavaScript 表达式。JSX 语法会自动转义被插入到 HTML 标签之间的内容。这意味着任何用户输入的内容都会被转义,以防止恶意脚本的执行。在转义过程中,React 会将特殊字符进行转换,例如将小于号 < 转义为 <、大于号 > 转义为 >、引号 " 转义为 " 等。这样可以确保在渲染时,用户输入的内容被当作纯文本处理,而不会被解析为 HTML 标签或 JavaScript 代码。

SQL 注入攻击

会执行非法 SQL 的 SQL 注入攻击

SQL 注入是指针对 Web 应用使用的数据库,通过运行非法的 SQL 而产生的攻击。该安全隐患有可能引发极大的威胁,有时会直接导致个人信息及机密信息的泄露。

SQL 注入攻击有可能会造成以下等影响:

• 非法查看或篡改数据库内的数据;


• 规避认证;


• 执行和数据库服务器业务关联的程序等;

SQL 注入攻击案例

• 登录绕过攻击: 攻击者可以在登录表单的用户名和密码字段中插入恶意的 SQL 代码。如果应用程序未对输入进行正确的验证和过滤,攻击者可以通过在用户名字段中输入 ' OR '1'='1 的恶意输入来绕过登录验证,使得 SQL 语句变为：SELECT \* FROM users WHERE username = '' OR '1'='1' AND password = '<输入的密码>'，从而成功登录到系统中;


• 删除或修改数据攻击: 攻击者可以通过注入恶意的 SQL 代码来删除或修改数据库中的数据。例如,攻击者可以在一个表单的输入字段中插入 '; DROP TABLE users;-- 的恶意输入。如果应用程序未正确处理这个输入,攻击者可以成功删除用户表(假设表名为 "users")导致数据丢失;

OS 命令注入攻击

OS 命令注入攻击是指通过 Web 应用,执行非法的操作系统命令达到攻击的目的。只要在能调用 Shell 函数的地方就有存在被攻击的风险。

可以从 Web 应用中通过 Shell 来调用操作系统命令,如果调用 Shell 是存在疏漏,就可以执行插入的非法 OS 命令。

OS 命令注入攻击可以向 Shell 发送命令,让 Windows 或 Linux 操作系统的命令行启动程序。也就是说,通过 OS 注入攻击可执行 OS 上安装着的各种程序。

OS 注入攻击案例

• 文件操作攻击: 攻击者可以在应用程序的输入字段中插入恶意的操作系统命令来执行文件操作。例如,如果应用程序在文件上传过程中未对输入进行适当的验证和过滤,攻击者可以在文件名字段中插入 '; rm -rf / ;-- 的恶意输入。如果应用程序在执行文件操作时没有正确处理这个输入,攻击者可能会删除服务器上的所有文件;


• 远程命令执行攻击: 攻击者可以通过注入恶意的操作系统命令来执行远程系统命令。例如,如果应用程序在一个输入字段中插入 ; ping <恶意 IP 地址> ; 的恶意输入,而没有进行正确的输入验证和过滤,攻击者可以利用该注入漏洞执行远程命令,对目标系统进行攻击或探测;

HTTP 首部注入攻击

HTTP 首部注入攻击是指攻击者通过在响应首部字段内插入换行,添加任意响应首部或主体的一种攻击。属于被动攻击模式。

HTTP 首部注入攻击有可能造成以下一些影响:

• 设置任何 Cookie 信息;


• 重定向值任意 URL;


• 显示任意的主体;

HTTP 首部注入攻击案例

以下是一些 HTTP 首部注入攻击的案例,展示了攻击者是如何利用该漏洞进行攻击的:

• 重定向攻击: 攻击者可以在 HTTP 响应的 Location 首部中插入恶意 URL,从而将用户重定向到恶意网站或欺骗性的页面。如果应用程序未正确验证和过滤用户输入,并将其直接用作 Location 首部的值,攻击者可以在 URL 中插入换行符和其他特殊字符,添加额外的首部字段,导致用户被重定向到意外的位置;


• 缓存投毒攻击: 攻击者可以在 HTTP 响应的 Cache-Control 或其他缓存相关首部中插入恶意指令,以欺骗缓存服务器或浏览器,导致缓存数据的污染或泄漏。攻击者可以通过注入换行符等特殊字符来添加额外的首部字段或修改缓存指令,绕过缓存机制或引发信息泄露;


• HTTP 劫持攻击: 攻击者可以在 HTTP 响应的 Location 或 Refresh 首部中插入恶意 URL,将用户重定向到恶意网站或欺骗性页面,从而劫持用户的会话或执行其他攻击。通过在响应中插入恶意的 Location 或 Refresh 值,攻击者可以修改用户的浏览器行为;


• XSS 攻击: 攻击者可以在 HTTP 响应的 Set-Cookie 或其他首部字段中插入恶意脚本,以执行跨站脚本攻击。如果应用程序未正确过滤和转义用户输入,并将其插入到首部字段中,攻击者可以通过注入恶意代码来窃取用户的会话标识符或执行其他恶意操作;

因会话管理疏忽引发的安全漏洞

会话管理是用来管理用户状态的必备功能,但是如果在会话管理上有所疏忽,就会导致用户的认证状态被窃取等后果。

会话劫持

会话劫持是指攻击者通过某种手段拿到了用户的会话 ID,并非法使用此会话 ID 伪装成用户,达到攻击的目的:

具备人中功能的 Web 应用,使用会话 ID 的会话管理机制,作为管理认证状态的主流方式。会话 ID 中记录客户端的 Cookie 等信息,服务端将会话 ID 与认证状态进行一对一匹配管理。

下面列举了几种攻击者可获得会话 ID 的途径:

• 通过非正规的生成方法推测会话 ID;


• 通过窃听或 XSS 攻击盗取会话 ID;


• 通过会话固定攻击强行获取会话 ID;

会话劫持攻击案例

下面我们以认证功能为例讲解会话劫持。这里的认证功能通过会话管理机制，会将成功认证的用户的会话 ID,保存在用户浏览器的 Cookie 中。

攻击者在得知该 Web 网站存在可跨站攻击的安全漏洞后,就设置好用 JavaScript 调用 document.cookie 以窃取 cookie 信息的陷阱,一旦用户踏入陷阱访问了该脚本,攻击者就能获取含有会话的 ID 的 Cookie。

攻击者拿到用户的会话 ID 后,往自己的浏览器的 Cookie 中设置该会话 ID,即可伪装成会话 ID 遭窃的用户,访问 Web 网站了。

会话固定攻击

对一切去目标会话 ID 为主动攻击手段的会话劫持而言,会话固定攻击 攻击会强制用户使用指定的会话 ID,属于被动攻击。

会话固定攻击案例

下面我们以认证功能为例讲解会话固定攻击,这个 Web 网站的认证功能,会在认证前发布一个会话 ID,若认证成功,就会在服务器内改变认证状态。

攻击者准备陷阱,先访问 Web 网站拿到会话 ID,此刻,会话 ID 在服务器上的记录仪仍是未认证状态。

攻击者设计好强制用户使用该会话 ID 的陷阱,并等待用户拿着这个会话 ID 前去认证,一旦用户触发陷阱并完成认证,会话 ID 服务器上的状态(用户 A 已认证) 就会被记录下来。

攻击者估计用户差不多已触发陷阱后,再利用之前这个会话 ID 访问网站,由于该会话 ID 目前已是用户 A 已认证状态,于是攻击者作为用户 A 的身份顺利登陆网站。

会话固定攻击预防措施

会话固定攻击利用了应用程序在身份验证和会话管理过程中未正确处理会话标识符的漏洞。为了防止会话固定攻击,开发人员可以采取以下措施:

1. 生成随机、唯一的会话标识符,并在用户每次登录或创建新会话时重新生成;


2. 不接受用户提供的会话标识符,而是通过服务器生成并返回给客户端;


3. 在身份验证之前和之后,对会话标识符进行适当的验证和验证机制;


4. 设置会话管理策略,包括会话超时时间和注销会话的方式;

通过采取这些预防措施,可以减少会话固定攻击的风险,并提高应用程序的安全性。

跨站点请求伪造

跨站点伪造请求(Cross-Site Require Forgeries,CSRF)攻击是指攻击者通过设置好的陷阱,强制用户对已完成认证的用户进行非预期的个人信息或设定信息等某些状态更新,属于被动攻击。

跨站点请求伪造有可能会造成一下等影响:

• 利用已通过认证的用户权限更新设定信息等;


• 利用已通过认证的用户权限购买商品;


• 利用已通过认证的用户权限在评论区发表言论;

跨站点伪造请求的攻击案例

下面以一个网站的登录访问功能为例,讲解跨站点请求伪造,如下图所示:

1. 当用户输入账号信息请求登录 A 网站;


2. A 网站验证用户信息,通过验证后返回给用户一个 cookie;


3. 在未退出网站 A 之前,在同一浏览器中请求了黑客构造的恶意网站 B;


4. B 网站收到用户请求后返回攻击性代码,构造访问 A 网站的语句;


5. 浏览器收到攻击性代码后,在用户不知情的情况下携带 cookie 信息请求了 A 网站。此时 A 网站不知道这是由 B 发起的。那么这时黑客就可以为所欲为了!!!

这首先必须瞒住两个条件:

• 用户访问站点 A 并产生了 Cookie;


• 用户没有退出 A 网站同时访问了 B 网站;

CSRF 攻击的防御

当涉及到跨站伪造请求的防御时,一下是一些防御方法和实践:

1. 
   

   验证来源和引用检查:

   
   
   
   
   • 服务器端应该验证每个请求的来源 Referer 字段和源 Origin 字段以确保请求来自预期的域名或网站。如果来源不匹配,服务器应该拒绝请求。Referer 头部并不是 100% 可靠,因为某些浏览器或网络代理可能会禁用或篡改该字段。因此,Origin 字段被认为是更可靠的验证来源的方式;
   
   
   
   


2. 
   

   CSRF Token:

   
   

   
   

   CSRF 令牌是一个随机生成的值,嵌入到表单或请求参数中,与用户会话相关联。它的目的是验证请求的合法性,确保请求是由预期的用户发起的,而不是由攻击者伪造的。

   
   

   
   
   
   
   • 在每个表单和敏感操作的请求中,包括一个 CSRF 令牌;
   
   
   • 令牌可以作为隐藏字段 input type="hidden" 或请求头,例如 X-CSRF-Token 的一部分发送;
   
   
   • 在服务器端,验证请求中的令牌是否与用户会话中的令牌匹配,以确保请求的合法性;
   
   
   
   


3. 
   

   验证请求的方法: 某些敏感操作应该使用 POST、PUT 或 DELETE 等非幂等方法,而不是 GET 请求。这样可以防止攻击者通过构造图片或链接等 GET 请求来触发敏感操作;

   
   


4. 
   

   敏感操作的二次确认: 对于一些敏感操作,例如修改密码、删除账户等,可以在用户执行操作前要求二次确认,以确保用户的意图和授权;

   
   

综合采取上述防御措施,可以有效减少跨站伪造请求攻击的风险。然而,没有单一的解决方案可以完全消除跨站伪造请求的威胁,因此建议在开发过程中将安全性作为一个关键考虑因素,并进行全面的安全测试和审查。

参考文献

书籍: 图解HTTP

总结

没有总结,总结个屁,不上网就是

最近，在小灰的知识星球上，有个小伙伴问了一个蛮有意思的问题：

这个问题看起来有些复杂，其实可以归纳为一句话：

IT技术更新换代很快，如果我们花费很多年去学习技术，有一天旧技术被淘汰，新技术成为主流，那我们是不是就白学了？我们程序员的努力还有什么意义呢？

不得不说，这个问题困扰着很多程序员，小灰自己也常常在思考。

那么，程序员该不该努力钻研技术的？今天小灰来说一说自己的想法。

先说结论，程序员的努力当然是有效的。

无论是程序员，还是其他大多数凭本事吃饭的职业，个人的成就主要取决于四个因素：努力、选择、天赋、运气。其中天赋和运气是不可控的，因此我们这里只谈论努力和选择。

那么，我们应该选择什么样的方向去努力钻研呢？

在职场上，我们需要掌握的技能有三类：一类是应用技能，一类是底层技能，一类是通用技能。

应用技能，就是可以直接用来做事情赚钱的技能，比如Go语言、MySQL技术、Spring框架等等。掌握了这些技能，你可以开发项目，在近期为公司创造价值。但是，这些技术难免会有时效性，很可能过一段时间就不再流行。

举个例子，十几年前兴盛一时的Delphi语言，因为市场的转变，现在已经很少有人使用了。

底层技能，对于程序员行业来说，包括操作系统原理、算法与数据结构，设计模式、架构理论等等。这些技能在短时间内无法让你快速提高生产力，但是却可以让你在职业发展的中长期受益。而且，这些技能的有效期很长，在可见的未来，在程序员的各个细分领域里，一直都有用。

举个例子，无论你是做Java，做Python，做C++，亦或是做前端，算法和数据结构的理念都是互通的。

通用技能，包括沟通能力，情绪控制能力，团队管理能力等等。这些技能不仅对程序员有用，哪怕有一天你不当程序员了，甚至你退休以后，都能给你的工作和生活带来一定的好处。

比如，当你从程序员转行做了产品经理，沟通能力依然能派上用场；当你谈恋爱结婚，未来教育孩子的时候，情绪控制能力同样可以派上用场。

因此，我们在选择某一方向去努力的时候，切记不要一味追逐流行的新技术，那样只会让我们疲于奔命。我们需要在学习应用技能的同时，不断加深底层技能和通用技能的提升，为更远的将来打好基础，全方位进行提升。

当你长期坚持在正确的方向上努力，或许一年两年看不出效果，但经过五年十年，你和同行的能力差距会变得非常显著，而且不会因为技术的更新换代而改变。

比如说，你用Go语言工作了10年，有一天Go语言没人用了，Come语言成了主流语言。那你损失的只是这一项应用技能，而你这些年的底层技能、通用技能并没有白积累。

当你和职场新人一起学习Come语言的时候，你大概率比他学习得更快，因为编程技术之间多少会有一些相通性。

再加上你的算法和设计功底，良好的沟通和管理能力，你一定比新人更有价值。

不过话又说回来，随着人的年龄增长，你一定会有家庭的牵绊、体力的下降等问题，让你在职场上的竞争力有所下降。但这些和工作能力没有关系，并不在我们今天的讨论范围内。

程序员的努力有意义吗？

选择正确的方向，兼顾应用技能、底层技能、通用技能的提升，那我们的努力就必然是有意义的。

小灰的回答就到这里，如果这篇文章对你有所

在Flutter中实现IOC（Inversion of Control，控制反转）与AOP（Aspect-Oriented Programming，面向切面编程）之前，让我们先来了解一下这两个概念。

IOC（控制反转） 是一种设计原则，它将应用程序的控制权从应用程序本身转移到外部框架或容器。传统上，应用程序会自己创建和管理对象之间的依赖关系。而在IOC中，对象的创建和管理被委托给一个专门的框架或容器。框架负责创建和注入对象，以实现松耦合和可扩展的架构。通过IOC，我们可以将应用程序的控制流程反转，从而实现更灵活、可测试和可维护的代码。

AOP（面向切面编程） 是一种编程范式，用于将横切关注点（如日志记录、事务管理、性能监控等）从应用程序的主要业务逻辑中分离出来。AOP通过在特定的切入点上织入额外的代码（称为切面），从而实现对这些关注点的统一管理。这种分离和集中的方式使得我们可以在不修改核心业务逻辑的情况下添加、移除或修改横切关注点的行为。

对于Java开发者来说，IOC和AOP可能已经很熟悉了，因为在Java开发中有许多成熟的框架，如Spring，提供了强大的IOC和AOP支持。

在Flutter中，尽管没有专门的IOC和AOP框架，但我们可以利用语言本身和一些设计模式来实现类似的功能。

接下来，我们可以探讨在Flutter中如何实现IOC和AOP的一些常见模式和技术。无论是依赖注入还是横切关注点的管理，我们可以使用一些设计模式和第三方库来实现类似的效果，以满足我们的开发需求

1. 控制反转（IOC）：

依赖注入（Dependency Injection）：依赖注入是一种将依赖关系从组件中解耦的方式，通过将依赖项注入到组件中，实现控制反转的效果。在Flutter中，你可以使用get_it库来实现依赖注入。下面是一个示例：

import 'package:flutter/material.dart';

import 'package:get_it/get_it.dart';



class UserService {

  String getUser() => 'John Doe';

}



class GreetingService {

  final UserService userService;



  GreetingService(this.userService);



  String greet() {

    final user = userService.getUser();

    return 'Hello, $user!';

  }

}



void main() {

  // 注册依赖关系

  GetIt.instance.registerSingleton<UserService>(UserService());

  GetIt.instance.registerSingleton<GreetingService>(

    GreetingService(GetIt.instance<UserService>()),

  );



  runApp(MyApp());

}



class MyApp extends StatelessWidget {

  @override

  Widget build(BuildContext context) {

    final greetingService = GetIt.instance<GreetingService>();



    return MaterialApp(

      title: 'IOC Demo',

      home: Scaffold(

        appBar: AppBar(title: Text('IOC Demo')),

        body: Center(child: Text(greetingService.greet())),

      ),

    );

  }

}

在上述示例中，我们定义了UserService和GreetingService两个类。GreetingService依赖于UserService，我们通过依赖注入的方式将UserService注入到GreetingService中，并通过get_it库进行管理。

2. 面向切面编程（AOP）：

在Flutter中，可以使用Dart语言提供的一些特性，如Mixin和装饰器（Decorator）来实现AOP。

Mixin：Mixin是一种通过将一组方法和属性混入到类中来实现代码复用的方式。下面是一个示例：

import 'package:flutter/material.dart';



mixin LogMixin<T extends StatefulWidget> on State<T> {

  void log(String message) {

    print('[LOG]: $message');

  }

}



class LogButton extends StatefulWidget {

  final VoidCallback onPressed;



  const LogButton({required this.onPressed});



  @override

  _LogButtonState createState() => _LogButtonState();

}



class _LogButtonState extends State<LogButton> with LogMixin {

  @override

  Widget build(BuildContext context) {

    return ElevatedButton(

      onPressed: () {

        log('Button clicked');

        widget.onPressed();

      },

      child: Text('Click Me'),

    );

  }

}



void main() {

  runApp(MyApp());

}



class MyApp extends StatelessWidget {

  @override

  Widget build(BuildContext context) {

    return MaterialApp(

      title: 'AOP Demo',

      home: Scaffold(

        appBar: AppBar(title: Text('AOP Demo')),

        body: Center(child: LogButton(onPressed: () => print('Button pressed'))),

      ),

    );

  }

}

在上面的示例中，我们定义了一个LogMixin，其中包含了一个log方法，用于记录日志。然后我们在_LogButtonState中使用with LogMixin将日志记录功能混入到_LogButtonState中。每次按钮被点击时，会先打印日志，然后调用传入的回调函数。

装饰器：装饰器是一种将额外行为添加到方法或类上的方式。下面是一个示例：

void logDecorator(Function function) {

  print('[LOG]: Method called');

  function();

}



@logDecorator

void greet() {

  print('Hello, world!');

}



void main() {

  greet();

}

在Flutter中，虽然没有专门的IOC（控制反转）和AOP（面向切面编程）框架，但我们可以利用一些设计模式和技术来实现类似的效果。

对于IOC，我们可以使用依赖注入（Dependency Injection）的方式实现。依赖注入通过将依赖项注入到组件中，实现了控制反转的效果。在Flutter中，可以借助第三方库如get_it或kiwi来管理依赖关系，将对象的创建和管理交由依赖注入框架处理。

在AOP方面，我们可以使用Dart语言提供的Mixin和装饰器（Decorator）来实现类似的功能。Mixin是一种通过将一组方法和属性混入到类中的方式实现代码复用，而装饰器则可以在不修改被装饰对象的情况下，添加额外的行为或改变对象的行为。

通过使用Mixin和装饰器，我们可以在Flutter中实现横切关注点的管理，例如日志记录、性能监测和权限控制等。通过将装饰器应用于关键的方法或类，我们可以在应用程序中注入额外的功能，而无需直接修改原始代码。

需要注意的是，以上仅为一些示例，具体实现方式可能因项目需求和个人偏好而有所不同。在Flutter中，我们可以灵活运用设计模式、第三方库和语言特性，以实现IOC和AOP的效果，从而提升代码的可维护性、可扩展性和重用性。

总结而言，尽管Flutter没有专门的IOC和AOP框架，但我们可以借助依赖注入和装饰器等技术，结合常见的设计模式，构建灵活、可测试和可维护的应用程序。这些技术和模式为开发者提供了良好的开发体验和代码结构。

希望对您有所帮助谢谢!!

上一篇文章介绍了什么是分治思想，今天就来看一下它其中一个继承人-- 归并排序，本章主要介绍归并排序的原理，以及对一个实际问题进行编码。

学习的内容

1. 什么是归并排序

比如我们拿到一个数组，如果想使用归并排序，应该怎么做呢？首先我们将数组从中间切分，分成左右两个部分，然后对左半部分和右半部分进行排序，两边部分又可以继续拆分，直至子数组中只剩下一个数据位置。

然后就要将拆分的子数组进行合并，合并的时候会涉及到两个数据进行比较，然后按照大小进行排序，以此往上进行合并。

拆分过程

合并过程

从上面我们可以看出，我们最终将大的数组拆分成只有单个数据的数组，然后进行合并，在合并过程中比较两个长度为1的数组，进行排序合并成新的子数组，然后依次类推，直至全部排序完成，也就意味着原数组排序完成。

2.代码示例

public class Solution {

    public static void main(String[] args) {

        int[] arr = {1,4,3,2,11};

        sortArray(arr);

        System.out.println(arr);

    }

​

    public static int[] sortArray(int[] nums) {

        quickSort(nums, 0, nums.length - 1);

        return nums;

    }

​

    private static void quickSort(int[] nums, int left, int right) {

        if (left >= right) {

            return;

        }

        int partitionIndex = getPartitionIndex(nums, left, right);

        quickSort(nums, left, partitionIndex - 1);

        quickSort(nums, partitionIndex + 1, right);

    }

​

    private static int getPartitionIndex(int[] nums, int left, int right) {

        int pivot = left;

        int index = pivot + 1;

        for (int i = index; i <= right; i++) {

            if (nums[i] < nums[pivot]) {

                swap(nums, i, index);

                index++;

            }

        }

        swap(nums, pivot, index - 1);

        return index - 1;

    }

​

    private static void swap(int[] nums, int i, int j) {

        int temp = nums[i];

        nums[i] = nums[j];

        nums[j] = temp;

    }

}

​

总结

本章简单分析了归并排序的原理以及分享了一个实际案例，无论是归并还是归并算法，对理解递归还是很有帮助的，之前总是靠着想递归流程，复杂点的绕着绕着就晕了，后面会再看一下快速排序，他和本文提到的归并排序都是分治思想，等说完快排，再

前言

首先问问大家在日常工作中喜欢哪种commit提交？

git commit -m "代码更新"



git commit -m "解决公共样式问题"



git commit -m "feat: 新增微信自定义分享"

如果你是第三种，那我觉得你肯定了解过commit提交规范，可能是刷到过同类文章也可能是在工作中受到的要求

我自己是在刚出来实习的一家公司了解到的，依稀记得“冒号要用英文的，冒号后面要接空格...”

虽然我一直保持这种习惯去提交代码，但是后面遇到的同事大部分都是放飞自我的提交，看的我很难受

因此这篇文章就教还不会配置的小伙伴如何配置被业界广泛认可的 Angular commit message 规范以及呼吁大家去使用。

先来了解下commit message的构成

<type>(<scope>): <subject>

<BLANK LINE>

<body>

<BLANK LINE>

<footer>

对应的commit记录如下图

• 
  

  type: 必填 commit 类型，有业内常用的字段，也可以根据需要自己定义

  
  
  
  
  • feat 增加新功能
  
  
  • fix 修复问题/BUG
  
  
  • style 代码风格相关无影响运行结果的
  
  
  • perf 优化/性能提升
  
  
  • refactor 重构
  
  
  • revert 撤销修改
  
  
  • test 测试相关
  
  
  • docs 文档/注释
  
  
  • chore 依赖更新/脚手架配置修改等
  
  
  • workflow 工作流改进
  
  
  • ci 持续集成
  
  
  • types 类型定义文件更改
  
  
  • wip 开发中
  
  
  • undef 不确定的分类
  
  
  
  


• 
  

  scope: commit 影响的范围, 比如某某组件、某某页面

  
  


• 
  

  subject: 必填 简短的概述提交的代码，建议符合 50/72 formatting

  
  


• 
  

  body: commit 具体修改内容, 可以分为多行, 建议符合 50/72 formatting

  
  


• 
  

  footer: 其他备注, 包括 breaking changes 和 issues 两部分

  
  

git cz使用

只需要输入 git cz ，就能为我们生成规范代码的提交信息。

一、安装工具

npm install -g commitizen // 系统将弹出上述type、scope等来填写

npm install -g cz-conventional-changelog // 用来规范提交信息

ps：如果你是拉取别人已经配置好git cz的项目，记得也要在自己环境安装

然后将cz-conventional-changelog添加到package.json中

commitizen init cz-conventional-changelog --save --save-exact

二、使用git cz提交

安装完第一步的工具后，就可以使用git cz命令提交代码了

如图，输入完git cz命令后，系统将会弹出提交所需信息，只需要依次填写就可以

commitlint使用

如果你不想使用git cz命令去提交代码，还是习惯git commit的方式去提交

那么接下来就教大家怎么在git commit命令或者vscode工具中同样规范的提交代码

一、安装工具

npm install --save-dev husky

npm install --save-dev @commitlint/cli

npm install --save-dev @commitlint/config-conventional

二、配置

• 初始化husky

npx husky install

• 添加hooks

npx husky add .husky/commit-msg 'npx --no -- commitlint --edit \$1'

• 在项目根目录下创建commitlint.config.js，并配置如下

module.exports = {

  extends: ['@commitlint/config-conventional'],

  rules: {

    'type-case': [2, 'always', ['lower-case', 'upper-case']],

    'type-enum': [2, 'always',[

        'feat', // 增加新功能

        'fix', // 修复问题/BUG

        'style', // 代码风格相关无影响运行结果的

        'perf', // 优化/性能提升

        'refactor', // 重构

        'revert', // 撤销修改

        'test', // 测试相关

        'docs', // 文档/注释

        'chore', // 依赖更新/脚手架配置修改等

        'workflow', // 工作流改进

        'ci', // 持续集成

        'types', // 类型定义文件更改

        'wip', // 开发中

        'undef' // 不确定的分类

      ]

    ]

  }

}

三、验证

没配置前能直接提交

配置之后就会规范提交

总结

以上两种方式都很简单，几个步骤下来就可以配置好，希望大家都能

1、 前言

  当我们在应用程序中启动一个线程的时候，也是有可能发生OOM错误的。当我们看到以下log的时候，就说明系统分配线程栈失败了。

java.lang.OutOfMemoryError: pthread_create (1040KB stack) failed: Out of memory

这种情况可能是两种原因导致的。

• 第一个就是系统的内存不足的时候，我们去启动一个线程。


• 第二种就是进程内运行的线程总数超过了系统的限制。

  如果是内存不足的情况，需按照堆内存治理的方式来进行解决，检查应用内存泄漏问题并优化，此情况不作为本次讨论的重点。

  本次主要讨论进程内运行的线程总数超过了系统的限制所导致的情况。出现此情况时，我们就需要通过控制并发的线程总数来解决这个问题。

  想要控制并发的线程数。最直接的一种方式就是利用回收的思路，也就是让我们的线程通过串行的方式来执行；一个线程执行完毕之后，再启动下一个线程。这样就能够让并发的线程总数达到一个可控的状态。

  另外一种方式就是通过复用来解决，让同一个线程的实例可以被反复的利用，只创建较少的线程实例，就能完成大量的异步操作。

2、异步任务的方式对比

  对比一下，在安卓平台我们比较常用的开启异步任务的方式中，有哪些是更加有利于我们进行线程总数的控制的。

  从最简单的直接创建Thread的实例的方式来说起。在Java中这种方式虽然是最简单的去开启一个线程的方式，但是在实际开发中，一旦我们通过这种方式去自己创建 Thread 类的实例，并且调用 start 来开启一个线程的话，所开启的线程会非常的难以调度和管理。这种线程也就是我们平时所说的野线程。所以我们最好不要直接的创建thread类的实例。

2.2 HandlerThread

public class HandlerThread extends Thread { }

  HandlerThread是Thread类的子类，对Thread做了很多便利的封装。它有自己的Loop，它能够进行消息循环，所以就能够做到通过Handler执行异步任务，也能够做到在不同的线程之间，通过Handler进行现成的通讯。我们可以利用Handler的post操作，让我们在一个线程内部串行的执行多个异步任务。从内存的角度来说，也就相当于对线程进行了复用。

2.3 AsyncTask

  AsyncTask是一个相对更加轻量级，专门为了完成执行异步任务，然后返回UI线程更新UI的操作而设计的。对于我们来说，AsyncTask更像是一个任务的概念，而不是一个线程的概念。我们不需要把它当做一个线程去理解。 AsyncTask的本质，其实也是对线程和Handler的封装。

• Android 1.6前，串行执行，原理：一个子线程进行任务的串行执行；


• Android 1.6到2.3，并行执行，原理：一个线程数为5的线程池并行执行，但如果前五个任务执行时间过长，会堵塞后续任务执行，故不适合大量任务并发执行；


• Android 3.0后，串行执行，原理：全局线程池进行串行处理任务；

到了Android 3.0以上版本，默认是串行执行的，但是可以结合线程值来实现有限制的并行。也可以达到一个限制线程总数的目的。

2.4 线程池

  Java语言本身也为我们提供了线程池。线程池的作用就是可以管理并发数，并且能够持续的去复用线程。如果在一个应用内部的全部异步操作，全部都采用线程池的方式来开启的话，那么我们就能够管理我们所有的异步任务了。这样一来，能够大大的降低线程治理的成本。

2.5 Kotlin协程

  在Kotlin中还引入了协程的概念。协程给传统的Java的异步编程带来最大的改变，就是能够让我们更加优雅的去实现异步任务。我们前面所说的这几种异步任务的执行方式，都需要我们额外的去写大量的样本代码。而Kotlin协程就能够做到让我们用写同步代码的方式去写异步代码。

  在语法的层面上，协程的另一个优势就是性能方面。协程能够帮助我们用更少的线程去执行更多的并发任务。同样也降低了我们治理内存的成本。从治理内存的角度来说，用线程池接管线程或者采用协程都是很好的方式。

前言

之前使用过uniapp开发微信小程序，但是没有遇到需要兼容H5页面的。因此在使用uniapp开发微信小程序和H5的过程中，遇到了好些问题。

1. button按钮存在黑色边框

使用button标签，在手机上查看存在黑色的边框，设置了border: none;也没有效果。

原因：uniapp的button按钮使用了伪元素实现边框

解决方法： 设置button标签的伪元素为display:none或者boder:none;

button:after{

   boder:none;

}

2. 配置反向代理，处理跨域

微信小程序没有跨域问题，如果当前小程序还没有配置服务器域名出现无法请求接口，只需要在微信开发工具勾选不校验合法域名，就可以请求到了

在本地开发环境中，H5页面在浏览器中调试，会出现跨域问题。如果后端不处理，前端就需要配置反向代理，处理跨域

a. 在manifest.json的源码视图中，找到h5的配置位置，配置proxy代理

注： "pathRewrite"是必要的，告诉连接要使用代理

b.在请求接口中使用

// '/api'就是manifest.json文件配置的devServer中的proxy

uni.request({

    url: '/api'+ '接口url',

    ...

})

c. 配置完，需要重启项目

3. 使用uni.uploadFile()API，上传图片文件

在微信小程序使用该API上传图片没问题，但是在H5页面实现图片上传，后台始终不能获取到上传的文件。

一开始使用uni.chooseImage()API实现从本地相册选择图片或使用相机拍照，成功之后可以返回图片的本地文件路径列表（tempFilePaths）和图片的本地文件列表（tempFiles，每一项是一个 File 对象）

tempFilePaths 在微信小程序中得到临时路径图片，而在浏览器中得到 blob 路径图片。微信小程序使用uni.uploadFile()上传该临时路径图片，可以成功上传，但是H5无法成功（浏览器中的传值方式会显示为payload，不是文件流file）

可能原因：

1. 使用 uni.uploadFile() 上传 blob 文件给服务端，后端无法获取到后缀名，进而上传失败。

b. uni.uploadFile()上传的文件格式不正确

解决方法：

在H5中上传tempFiles文件，而不是tempFilePaths，并更改uni.uploadFile()上传的格式

H5

微信小程序

4. 打包H5

问题：打包出来，部署到线上，页面空白，控制台preview中展示please enable javascript tocontinue

原因：uniapp的打包配置存在问题

解决方法：

a. web配置不选择路由模式、运行的基础路径也不填写（一开始都写了）

b. "pathRewrite"设置为空（不知道为啥，可能是不需要配置代理了，网站和接口是同一域名）

"proxy" : {

    "/api" : {

        "target" : "xxx",

        "changeOrigin" : true,

        "secure" : true,

        "pathRewrite" : {}

    }

}

注： 之前接口中的'/api'也需要取消

作者：sherlockkid7
来源：juejin.cn/post/7250284959221809209

密码破解，是黑客们最喜欢的玩具之一。当你用“123456”这类简单密码来保护你的账户时，就像裸奔一样，等待着黑客的攻击。所以，今天我们就来聊聊密码破解知识，看看那些常见的密码破解方法，以及如何防范它们。

1、暴力破解

首先，我们来介绍一下最简单、最暴力的密码破解方法——暴力破解。

什么是暴力破解密码呢？

简单来说，就是 攻击者通过穷举所有可能的密码组合来尝试猜测用户的密码。如果你的密码太简单或者密码空间较小，那么暴力破解密码的成功几率会增加。

暴力破解密码的一般步骤：

step1：确定密码空间

密码空间是指所有可能的密码组合。密码空间的大小取决于密码的长度和使用的字符集。例如，对于一个只包含数字的4位密码，密码空间就是从0000到9999的所有组合。

step2：逐个尝试密码

攻击者使用自动化程序对密码空间中的每个密码进行逐个尝试。这可以通过编写脚本或使用专门的密码破解工具来实现。攻击者从密码空间中选择一个密码并将其用作尝试的密码。

step3：比对结果

对于每个尝试的密码，攻击者将其输入到目标账户进行验证。如果密码正确，那么攻击者成功破解了密码。否则，攻击者将继续尝试下一个密码，直到找到匹配的密码为止。

那么我们该如何防范暴力破解呢？

方案1：增强密码策略

增强密码策略，即选择强密码。强密码应该包括足够的长度、复杂的字符组合和随机性，以增加密码空间的大小，从而增加破解的难度。比如说，“K3v!n@1234”这样的密码就比“123456”要强得多。

方案2：登录尝试限制

限制登录尝试次数，例如设置最大尝试次数和锁定账户的时间。

方案3：双因素身份验证

我们还可以引入双因素身份验证，要求用户提供额外的验证信息，如验证码、指纹或硬件令牌等。

通过综合使用这些安全措施，我们可以大大减少暴力破解密码的成功几率，并提高账户和系统的安全性。

2、彩虹表攻击

接下来，我们来介绍一种更加高级、更加可怕的密码破解方法——彩虹表攻击。

彩虹表攻击是一种 基于预先计算出的哈希值与明文密码对应关系的攻击方式。

攻击者通过预先计算出所有可能的哈希值与对应的明文密码，并将其存储在一个巨大的“彩虹表”中。

当需要破解某个哈希值时，攻击者只需要在彩虹表中查找对应的明文密码即可。

攻击者生成彩虹表时需要耗费大量的计算和存储资源，但一旦生成完成，后续的密码破解速度就会非常快。

彩虹表攻击的基本原理如下：

step1：生成彩虹表

攻击者事先生成一张巨大的彩虹表，其中包含了输入密码的哈希值和对应的原始密码。彩虹表由一系列链条组成，每个链条包含一个起始密码和相应的哈希值。生成彩虹表的过程是耗时的，但一旦生成完成，后续的破解过程会变得非常快速。

step2：寻找匹配

当攻击者获取到被保护的密码哈希值时，他们会在彩虹表中搜索匹配的哈希值。如果找到匹配，就意味着找到了原始密码。

step3：链表查找

如果在彩虹表中没有找到直接匹配的哈希值，攻击者将使用哈希值在彩虹表中进行一系列的链表查找。他们会在链表上依次应用一系列的哈希函数和反向函数，直到找到匹配的密码。

那如何防范呢？

方案1：盐值（Salt）

使用随机盐值对密码进行加密。盐值是一个随机的字符串，附加到密码上，使得每次生成的哈希值都不同。这样即使相同的密码使用不同的盐值生成哈希，也会得到不同的结果，使得彩虹表无效。

方案2：迭代哈希函数

多次迭代哈希函数是指对原始密码进行多次连续的哈希运算的过程。

通常情况下，单次哈希函数的计算速度是相当快的，但它可能容易受到彩虹表等预先计算的攻击。为了增加密码的破解难度，我们可以通过多次迭代哈希函数来加强密码的安全性。

在多次迭代哈希函数中，原始密码会被重复输入到哈希函数中进行计算。每次哈希运算的结果会作为下一次的输入，形成一个连续的链式计算过程。例如，假设初始密码为 "password"，哈希函数为 SHA-256，我们可以进行如下的多次迭代哈希计算：

1. 首先，将初始密码 "password" 输入 SHA-256 哈希函数中，得到哈希值 H1。


2. 将哈希值 H1 再次输入 SHA-256 哈希函数中，得到哈希值 H2。


3. 将哈希值 H2 再次输入 SHA-256 哈希函数中，得到哈希值 H3。


4. 以此类推，进行多次迭代。

通过多次迭代哈希函数，我们可以增加密码破解的难度。攻击者需要对每一次迭代都进行大量的计算，从而大大增加了密码破解所需的时间和资源成本。同时，多次迭代哈希函数也提供了更高的密码强度，即使原始密码较为简单，其哈希值也会变得复杂和难以预测。

需要注意的是，多次迭代哈希函数的次数应根据具体的安全需求进行选择。次数过少可能仍然容易受到彩虹表攻击，而次数过多可能会对系统性能产生负面影响。因此，需要在安全性和性能之间进行权衡，并选择适当的迭代次数。

方案3：长度和复杂性要求

要求用户选择强密码，包括足够的长度、复杂的字符组合和随机性，以增加彩虹表的大小和密码破解的难度。

3、字典攻击

最后，我们来介绍一种基于字典的密码破解方法——字典攻击。

字典攻击是 通过使用一个包含常见单词和密码组合的字典文件来尝试破解密码（这文件就是我们常说的字典）。这种方法比暴力破解要高效得多，因为它可以根据常见密码和单词来进行尝试。

如果你使用了常见单词或者简单密码作为密码，那么字典攻击很有可能会成功。

以下是字典攻击的一般步骤：

step1：收集密码字典

攻击者会收集各种常见密码、常用字词、常见姓名、日期、数字序列等组成的密码字典。字典可以是公开的密码列表、泄露的密码数据库或通过爬取互联网等方式获得。

step2：构建哈希表

攻击者会对密码字典中的每个密码进行哈希运算，并将明文密码与对应的哈希值构建成一个哈希表，方便后续的比对操作。

step3：逐个比对

攻击者使用字典中的密码与目标账户的密码进行逐个比对。对于每个密码，攻击者将其进行哈希运算，并与目标账户存储的哈希值进行比较。如果找到匹配的哈希值，那么密码就被破解成功。

字典攻击的成功取决于密码的强度和字典的质量。

如果用户使用弱密码或常见密码，很容易受到字典攻击的威胁。为了抵御字典攻击，用户应该选择强密码，包括使用足够的长度、复杂的字符组合和随机性，以增加密码的猜测难度。而系统设计者可以使用前文介绍的方式来防止密码被破解，如密码加盐和限制登录尝试次数等。

好啦，今天的分享就到这里啦！希望大家都能保护好自己的账户安全，不要成

场景：

近期在实现一个基于element-ui 的 Tree 组件的场景， 产品要求， 部门的数据，都不要checkbox, 只有节点值为 员工 才显示，而且还要部分员工的checkbox 禁用

element-ui 的 tree 还不支持特定节点的checkbox隐藏功能， 网上大多采用 class 的方式，将第一层的checkbox进行了隐藏， 但是不满足我们的要求

规则：

• 第一层节点不显示checkbox


• 后续任意子节点，如果数据为部门 则也不显示 checkbox


• 后端返回的部分数据，如果人员符合特定规则（根据自己场景来即可），则表现为 禁用 checkbox

实现

数据
treeData.js

export default [

    {

        "id":1,

        "label":"一级 1-是部门",

        "depType":1,

        "disabled":false,

        "children":[

            {

                "id":4,

                "label":"二级 1-1-是部门",

                "depType":1,

                "disabled":false,

                "children":[

                    {

                        "id":9,

                        "label":"三级 1-1-9",

                        "disabled":false

                    },

                    {

                        "id":25,

                        "label":"三级 1-1-25",

                        "disabled":false

                    },

                    {

                        "id":27,

                        "label":"三级 1-1-27",

                        "disabled":false

                    },

                    {

                        "id":30,

                        "label":"三级 1-30",

                        "disabled":false

                    },

                    {

                        "id":10,

                        "label":"三级 1-1-2 是部门",

                        "depType":5,

                        "disabled":false

                    }

                ]

            }

        ]

    },

    {

        "id":2,

        "label":"一级 2 部门",

        "depType":1,

        "disabled":false,

        "children":[

            {

                "id":5,

                "label":"二级 2-1  张三",

                "disabled":false

            },

            {

                "id":6,

                "label":"二级 2-2 李四",

                "disabled":false

            }

        ]

    },

    {

        "id":3,

        "label":"一级 3 部门",

        "depType":1,

        "disabled":false,

        "children":[

            {

                "id":7,

                "depType":1,

                "label":"二级 3-1 王武",

                "disabled":false

            },

            {

                "id":8,

                "label":"二级 3-2 赵柳",

                "disabled":false

            }

        ]

    }

]

上述数据，有的有 deptType字段 ，有的节点没有， 这其实是业务场景的特殊规则，有deptType的认为这个节点为部门节点，没有的则为 员工

<template>

    <div>

        <el-tree

            node-key="id"

            show-checkbox

            :data="treeData"

            :render-content="renderContent"

            class="tree-box"

            @node-expand='onNodeExpand'

        ></el-tree>

    <div>

    

    <ul>

        <li>一开始的数据结构必须都有 disabled字段, 默认不禁用，设置为 false  否则会出现视图的响应式延迟问题</li>

        <li>是否禁用某个节点，根据renderContent  里面的规则来的， 规则是， 只要是部门的维度，就禁用  设置 data.disabled= true</li>

        <li>tree的第一层节点隐藏，是通过js控制的</li>

    </ul>

    </div>

	</div>

</template>



<script>

 import treeData from './treeData.js'



export default {

    name: 'render-content-tree',

    data() {

        return {

            treeData

        }

    },

    mounted() {

        let nodes = document.querySelector('.tree-box')

        let children = nodes.querySelectorAll('.el-tree-node')



        for(let i=0; i< children.length; i++) {

            children[i].querySelector('.el-checkbox').style.display = 'none'

        }



        // 第一层不要checkbox

        // 后续根据规则来

    },



    methods: {

        renderContent(h, { node, data, store }) {

            // console.log(node, data)



            // 如果不是一级节点，并且符合数据的特定要求，比如这里是 id 大于27 的数据，禁用掉

            if (node.level !== 1 &&  data.id > 27) {

                data.disabled = true

            }



            return h('div', 

                {

                    // 如果是部门，就将所有的 checkbox 都隐藏

                    class: data.depType === undefined ? '' : 'dept-node'

                }, 

                data.label)

        },



        setDeptNodeHide() {

          let deptNodes = document.querySelectorAll('.dept-node')



          for(let i=0; i<deptNodes.length; i++) {

            let checkbox = deptNodes[i].parentNode.querySelector('.el-checkbox')



            checkbox.style.display = 'none'

          }

        },



        onNodeExpand(data, node, com) {

          // console.log(data);

          // console.log(node);

          // console.log(com);



          this.$nextTick(() => {

            this.setDeptNodeHide()

          })

        }

    }

}

</script>