源代码是指哪些文件(源代码是什么文件) 收藏 0

我对 Twitter 前 10 行源代码的理解

本文最初发布于 CSS-Tricks 博客，由 InfoQ 中文站翻译并分享。

过去几周，我一直在为我的家具租赁公司Pabio招聘一名高级全栈JavaScript 工程师。由于是一个远程团队，面试是在 Zoom 上进行的。根据我的观察，部分开发人员不擅长现场编码或白板面试，即使他们对这项工作很在行。所以取而代之，我们会进行一小时的技术讨论，我会问他们关于 Web Vitals、可访问性、浏览器战争以及其他类似 Web 话题的问题。我很喜欢问的一个问题是：“解释一下 Twitter 源代码的前十几行”。

我认为这是一个很简单的测试，可以借此了解应聘者对前端基础知识的掌握程度。本文列出了这个问题的最佳答案。

我打开 Twitter.com，点击查看源代码并分享我的屏幕，然后要求他们逐行进行解释，他们想说多少就说多少。我放大了文本，使其更加清晰，所以你看不到整行的内容，不过可以大概有个了解，如下所示：

注意，既然我们的技术讨论是一种谈话，所以我并不期望任何人能给出完美答案。只要听到一些正确的关键词，我就知道应聘者了解这个概念，我就会试着把他们引向正确的方向。

每个源代码文档的第一行都非常适合这个面试，因为应聘者对DOCTYPE声明的了解程度与他们的工作年限密切相关。我仍然记得，在 Dreamweaver 时代，XHTML DOCTYPE 行很长，就像 2009 年 Chris 在文章“常见DOCTYPE”中所写的那样。

最佳答案：这是文档类型（doc-type）声明，我们总是把它放在 HTML 文件的第一行。你可能认为这些信息是多余的，因为浏览器已经知道响应的 MIME 类型是text/html；但在Netscape/Internet Explorer时代，浏览器要从多个相互竞争的版本中找出要使用哪个 HTML 标准来渲染页面，这是一项困难的任务。

这一点尤其令人讨厌，因为每个标准都会产生不同的布局，所以采用这个标签是为了让浏览器更容易判断。以前，DOCTYPE标签很长，甚至包括规范链接（有点像现在的 SVG），但幸运的是，<!doctype html>在 HTML5 中得到了标准化，延续了下来。

也可接受：DOCTYPE标签告诉浏览器这是一个 HTML5 页面，应该这样渲染。

这一行代码可以告诉我应聘者是否了解可访问性和本地化的问题。令人惊讶的是，在我的面试中，只有少数人知道dir属性，但这是讨论屏幕阅读器的一个很好的切入点。几乎每个人都能说清楚lang=\”en\”属性，即使他们以前没有用过。

最佳答案：这是 HTML 文档的根元素，其他所有元素都包在这个元素里。它有两个属性：方向和语言。方向属性的值是从左到右，它告诉浏览器代理内容方向；另一个值是从右到左，适用于阿拉伯语等语言，或者是auto，让浏览器自己来决定。

语言属性告诉我们，这个标签里的所有内容都是英文的；你可以把这个值设置为任何语言，甚至可以区分en-us和en-gb。这对屏幕阅读器来说也很有用，可以知道用哪种语言来播音。

最佳答案：源代码中的元标签用来提供关于这个文件的元数据。字符集（char-set）属性告诉浏览器要使用哪种字符编码，而 Twitter 使用的是标准的 UTF-8 编码。UTF-8 很好，因为它有很多字符代码点，所以你可以在源代码中使用各种符号和表情。把这个标签放在代码开头附近，这很重要，这样浏览器就不会在遇到这一行之前解析太多的文本；我觉得可以定个这样的规则，就是把它放在文档的前 1000 个字节里，但我认为最好的做法是把它放在<head>的正上方。

顺便提一下，Twitter 似乎是出于性能方面的考虑（加载的代码较少）省略了<head>标签，但我还是喜欢明确定义，因为它是所有元数据、样式等的大本营。

最佳答案：源代码中的这个元标签是为了在小屏幕上（比如智能手机）可以适当调整网页的大小。如果你还记得最早的 iPhone 主题演讲，史蒂夫·乔布斯在那个 4.5 英寸的小屏幕上展示了整个《纽约时报》的网站；在那时，这是一个了不起的功能，你必须捏住放大才能阅读。

现在，网站的设计是响应式的，width=device-width告诉浏览器使用设备的整个宽度作为视口，所以没有水平滚动条，但你甚至可以使用具体的像素值指定宽度。通常，最佳的做法是将初始缩放比例设置为1，宽度设置为device-width，这让人们仍然可以根据自己的需要进行缩放。

还有些值源代码截图中没有显示出来，但你最好也了解下：Twitter 还应用了user-scalable=0，顾名思义，就是禁用了缩放功能。这对可访问性没什么好处，但使网页感觉更像一个本地应用程序。出于同样的原因，它还设置了maximum-scale=1（你可以使用最小和最大缩放比例，并使用两者之间的值限制缩放能力）。一般来说，设置全宽和初始缩放比例就足够了。

大约 50%的应聘者知道 Open Graph 标签，如果他们这个问题回答得比较好，就表明他们了解 SEO。

最佳答案：这个标签是网站名称 Twitter 的 Open Graph（OG）元标签。Open Graph协议是由 Facebook 制定的，目的是使链接更容易打开，并在一个漂亮的卡片布局中显示预览；开发者可以添加各种著作权详情和封面图片，实现花式分享。而事实上，使用 Puppeteer 之类的东西自动生成 Open Graph 图片，现在也很常见。（CSS-Tricks使用了一个WordPress插件来做到这一点。）

另外提一个比较有趣的点，元标签通常具有name属性，但 OG 使用非标准的property属性。我猜这只是 Facebook 的特色。标题、URL 和描述 Open Graph 标签有点多余，因为我们已经有了这些常规的元标签，人们添加它们只是为了安全。现在的大多数网站都搭配使用 Open Graph 和其他元标签以及页面上的内容来生成丰富多彩的预览。

大多数应聘者都不知道这个，但有经验的开发者可以谈下如何针对苹果设备优化网站，比如apple-touch-icon和 Safari 固定标签 SVG。

最佳答案：你可以将网站固定在 iPhone 主屏幕上，让它感觉像一个原生应用程序。Safari 不支持渐进式 Web 应用，你也无法在 iOS 上使用其他浏览器引擎，所以如果你想要类似于原生的体验，真的没有其他选择，当然，Twitter 是喜欢这种体验的。所以他们添加了这个，告诉 Safari 这个应用的标题是 Twitter。下一行类似，控制应用程序启动后状态栏如何显示。

最佳答案：这是一个符合 Web 标准的、相当于苹果状态栏颜色元标签的标签。它告诉浏览器周边UI使用什么主题色。Chrome on Android 和 Brave on Desktop 在这方面都做得很好。你可以把任何 CSS 颜色放在内容中，甚至可以使用media属性，只为特定的媒体查询显示这种颜色，如支持深色主题。你也可以在 Web 应用清单中定义这个及其他属性。

我面试过的人都不知道这个。我想，只有对标准化阶段发生的所有新鲜事都有深入的了解时，才会知道这个。

最佳答案：起源试验让我们可以在网站上使用实验性的新特性，跟踪用户代理反馈，并报告给 Web 标准社区，而无需用户选择加入一个特性标识。例如，Edge 有一个针对双屏和可折叠设备基元的起源试验，这非常酷，因为你可以根据可折叠手机是打开还是关闭来设置有趣的布局。

也可接受：这个我不知道。

几乎没有人知道这一行；只有了解 CSS 的边缘情况和优化时，才能看懂这一行。

最佳答案：想象一下，如果没有一个移动端响应式站点，那么当你在一个小屏幕上打开时，浏览器可能会调大字体，以方便阅读。CSS 的text-size-adjust属性可以用none值禁用，也可以指定一个百分比，允许浏览器调大字体。

在这种情况下，Twitter 设置的最大比例是100%，所以文本不会大于实际尺寸；他们这样做是因为他们的网站已经是响应式的，他们不想冒因浏览器调大字体而破坏布局的风险。它作用于根 HTML 标签，所以它作用于根标签中的所有内容。由于这是一个实验性的 CSS 属性，所以需要供应商前缀。另外，这行 CSS 代码之前少了<style>，但我猜这是在前一行去掉的，所以我们没有看到。

也可接受：我不特别了解这个属性，但-ms和-webkit-是非标准属性的供应商前缀，分别针对基于 Internet Explorer 和 WebKit 的浏览器。在 CSS3 刚推出时，我们需要这些前缀，但当属性从实验变为稳定或被采纳到标准中时，这些前缀就消失了，人们转而采用标准化的属性。

Twitter 源代码中的这一行特别有趣，因为你可以跟进一个问题，即网页重置和规范化之间有什么区别。几乎每个人都有一个版本的正确答案。

最佳答案：不同浏览器有不同的默认样式（用户代理样式表），而你希望通过重置属性来覆盖它们，使得网站在不同的设备上看起来都一样。在这种情况下，Twitter 就告诉浏览器删除body标签的默认边距。这只是为了降低浏览器的不一致性，但我更喜欢将样式规范化，而不是重置它们，也就是说，在不同的浏览器上应用相同的默认值，而不是完全删除它们。人们甚至曾经使用* { margin: 0 }，这完全是矫枉过正，对性能并不好，但现在，常见的方式是导入normalize.css或reset.css之类的东西（甚至是更新的东西）并在此基础上进行设计。

我一直很喜欢玩浏览器的检查器工具，看一看网站是如何制作的，我就是因为这个想出了这样的面试方法。尽管我自认为算是语义 HTML 方面的专家，但每次这样做时我都会学到一些新东西。

因为 Twitter 主要是一个客户端 React 应用，所以源代码只有几十行。即使这样还是有很多东西可以学！在 Twitter 的源代码中，还有一些更有趣的行，我留给读者做练习。你能在面试中解释其中的多少个？

…告诉浏览器用户可以将 Twitter 添加为一个搜索引擎。

…有许多有趣的属性可供讨论，尤其是nonce。

…针对国际登录页。

…在不使用键盘导航时移除焦点轮廓（这里的:focus-visible选择器是 CSS 增强插件）。

了解更多软件开发与相关领域知识，点击访问 InfoQ 官网：https://www.infoq.cn/，获取更多精彩内容！

码农必看：常见源代码混淆技术详解

在项目组中，核心代码模块被部署于用户服务器上。然而，另一家公司获取了该服务器的root密码，这就存在着潜在的数据泄露和代码泄露的风险。传统的解决方法是通过配置环境变量来进行数据库加密处理，或者直接将jar包放到服务器上。然而，这些方法都有可能导致数据和代码的泄露。

为了保护代码安全，我们需要选择一款可靠的代码混淆工具。以下是一些常用的代码混淆工具：

1. Allatori Java Obfuscator：这是一个轻量级的工具，可以集成在IDE工具中使用，并通过配置文件进行引入。
2. DashO for Android and Java：这是一个收费的工具，可以与eclipse集成，可以防止Java程序被逆向工程和篡改，并且可以压缩代码量。
3. Cinnabar Canner：通过创建一个原生Windows可执行文件(EXE文件)，可以保护代码不被逆向工程反编译。这个可执行文件包含了应用程序类和资源的全部加密版本，只有在被JVM调用到内存中时才处于非加密状态。
4. ipaguard：这是一个免费的Java混淆工具。Ipa Guard是一款功能强大的ipa混淆工具，不需要ios app源码，直接对ipa文件进行混淆加密。可对IOS ipa 文件的代码，代码库，资源文件等进行混淆保护。 可以根据设置对函数名、变量名、类名等关键代码进行重命名和混淆处理，降低代码的可读性，增加ipa破解反编译难度。可以对图片，资源，配置等进行修改名称，修改md5。只要是ipa都可以，不限制OC，Swift，Flutter，React Native，H5类app。
5. Java字节码操纵框架ASM：ASM是一个Java字节码操纵框架，可以直接以二进制形式动态地生成stub类或其他代理类，或者在装载时动态地修改类。它比BCEL和SERP等工具包更小巧、更快速，适用于实时代码插装。

经过比对，我们最终选择了IPAGuard作为代码混淆工具。选择ProGuard的主要原因如下：

Ipa Guard的特点如下：

1. 功能强大的ipa混淆工具：Ipa Guard具有强大的混淆功能，可以对iOS应用程序（IPA文件）进行混淆加密，从而增加反编译难度。
2. 无需iOS app源码：与一些混淆工具不同，Ipa Guard不需要iOS应用程序的源代码，可以直接对IPA文件进行混淆处理，简化了使用流程。
3. 全面的保护：能够对iOS应用程序的代码、代码库和资源文件等进行混淆保护，包括函数名、变量名、类名等关键代码的重命名和混淆处理，从而降低了代码的可读性。
4. 增加反编译难度：通过重命名和混淆关键代码，使得反编译和破解应用程序变得更加困难，提高了应用程序的安全性。
5. 对资源文件的修改：除了对代码进行混淆外，还可以对图片、资源和配置等进行修改名称和修改MD5等处理，增加了保护的全面性。
6. 适用广泛：支持对各种类型的iOS应用程序进行混淆保护，包括但不限于Objective-C、Swift、Flutter、React Native和H5类应用。

总的来说，Ipa Guard是一款强大的IPA混淆工具，具有全面的保护功能，能够有效提高iOS应用程序的安全性和防护能力。

以springboot单体应用为例，我们需要在原有项目配置文件的基础上进行以下修改：代码混淆步骤选择要混淆保护的ipa文件

配置签名证书点击左侧的签名配置，设置ios签名证书，描述文件等信息。测试阶段用开发证书，这样可以方便安装到测试机子上检验是否测试后的app运行正常；最终配置测试ok，发布的时候再改成发布证书，混淆配置完后可以提交上架。

选择要混淆的类名称选择左侧的代码模块中的OC类名称或者Swift类名称，选择IPA种要混淆的二进制文件，然后勾选可执行文件代码里面的类名称。如果类太多可以使用搜索查看功能，ipaguard提供了级别选择，名称搜索，已选未选过滤来帮助配置混淆对象。

选择要混淆保护的函数，方法选择左侧代码模块下的oc方法或者swift方法，点击右侧的选择文件选取一个可执行二进制文件，勾选需要混淆保护的方法和函数。ipaguard提供了风险等级过滤，名称搜索过滤，根据类名称过滤条件来辅助配置混淆目标

混淆和测试运行点击开始处理按钮，ipaguard将对ipa中选中的内容进行混淆保护，并安装混淆好的ipa到手机上，运行如果ok，点击保存配置，下次直接加载配置即可，无需每次配置要混淆的内容。

ipaguard在做混淆这块还是做的很人性化的，混淆目标可控，强度可控，极大地简化了配置混淆内容的过程，可视化的操作也非常的方便。

本文作者及来源:Renderbus瑞云渲染农场https://www.renderbus.com