季度安全報告（技術周刊 2018-05-04）

來自專欄 阿里媽媽前端快爆

今天可是五四青年節哎，說好的給18-28周歲的騷年放半天假呢？結果小編現在還在寫稿子，最後一個五四青年節就這樣在與鍵盤啪啪啪中度過了。還好公司提供了不限量枸杞，對於我這個徘徊在青年邊緣的人來說是莫大的安慰。端起我的 THERMOS 保溫杯，啜一口已經微發枸杞，一杯敬青年，一杯敬大叔，喚醒我的嚮往，溫柔了寒窗……

前端快爆

• 隨著 Windows 10 四月份更新的 Edge 17 帶來了大量的新特性，比如：CSS 可變字體（Variable Fonts）、Service Worker、Web Assembly、Push API、CSS Backdrop filter、SVG 中支持 CSS transforms 等。

???

blogs.windows.com

老絲點評：Edge 幹勁十足，就是版本號干不過友商。

• 自 2016年開始*.github.io 已經支持 HTTPS。今天，GitHub Pages 上所有的自定義域名也開始支持 HTTPS，這意味著超過一百萬個使用 GitHub Pages 網站可以使用免費的 HTTPS 服務。

Custom domains on GitHub Pages gain support for HTTPS?

blog.github.com

老絲點評：然鵝國內你懂的。

• Safari 開發者工具對 Style 面板進行了全面改版，添加了花括弧的顯示，支持更多快捷鍵等。

Web Inspector Styles Sidebar Improvements?

webkit.org

老絲點評：越來越像 Chrome，本是同根生，奈何 Safari 自甘墮落？

• W3C WebDriver 提案正式進入推薦標準（Proposed Recommendation）階段。WebDriver 是一個平台和語言中立的訪問介面，允許應用程序或腳本獲得Web瀏覽器的狀態並控制瀏覽器的行為。WebDriver API目前主要用於開發人員編寫測試腳本，通過一個獨立的控制流程實現基於瀏覽器的自動測試，未來該規範還可能使運行在瀏覽器中的腳本程序對瀏覽器行為進行控制。

Call for Review: WebDriver is a W3C Proposed Recommendation?

www.w3.org

• V8 引擎宣布支持 JavaScript 的第8種數據類型：大整數 BigInt。自此，JavaScript 可以精確表示任意位數的整數，再也不受64位雙精度浮點數格式的限制了。

https://v8project.blogspot.com/2018/05/bigint.html?m=1?

v8project.blogspot.com

優秀 Demo

• 在線圖片濾鏡編輯器

• 粒子效果按鈕

專題

季度安全報告

• atob 2.1.0 以前版本存在內存泄漏風險。??
• npm 5.7.1 以前版本的漏洞可能導致用戶繞過文件夾的訪問限制。??
• electron 1.8.2-beta.5 以前版本存在任意代碼執行漏洞。??
• zeroclipboard 1.0.8以前版本存在 XSS 風險。??

ESNext

• How To Cancel Your Promise
  如何取消 promise 調用鏈，作者給出了 bluebird、單純的promise、generators 模式、async/await 和 rxjs 下的處理方式。
• Async/Await Will Make Your Code Simpler

  Await 雖甜，能並行的時候可是要注意呦，參見最後一條~

• 掌握 Node.js 中的 async/await
  Await 不僅甜，更重要的是減輕了心智負擔，看此文如何將 Promise 重構得 simple and stupid。
• await vs return vs return await - JakeArchibald.com
  async await 也能帶來不良書寫方式，本文為相關書寫方式的探討。
• Generators in Javascript - Advanced Web Machinery
  generator 用於迭代是個怎麼樣子。
• 有了indexOf，為什麼ECMAScript 7還添加了Array.prototype.includes
  雖然我們可以使用indexOf()來模擬includes()的行為，但是indexOf()在語義上無法清晰的描述這個場景。
• Implementing The Function Composition Operator In Javascript

  使用 Proxy 來實現多個函數聚合為新函數。

• 反向工程混淆後的 JavaScript 代碼
  本視頻介紹了利用 Proxy 進行 JavaScript 混淆代碼逆向破解。
• ES6的工廠函數
  與 new 一個 class 相比，使用工廠函數更輕便，也更符合鴨子模型。
• ES modules: A cartoon deep-dive – Mozilla Hacks – the Web developer blog
  ES Module科普文一篇，講了ES Module的結構和工作流、與CommonJS的對比。並沒有什麼新鮮的概念，覺得文章寫得很棒，就分享一下。
• Investigating Performance of Object#toString in ES2015
  介紹了Object.prototype.toString方法在ES2015中的使用，同時介紹了Symbol.toStringTag。

本期編輯： @一絲， @馮雨；審閱：承虎。

題圖來源：https://pixabay.com/en/bolt-closure-door-wood-green-1484936/