zoukankan      html  css  js  c++  java
  • 从chrome源码看JavaScript执行 dom

    缘由

    来源于ph师傅小密圈里的一个问题

    例子1:

    <!DOCTYPE html>
    <html>
    <head>
        <title></title>
    </head>
    <body>
    <div id="id"></div>
    <script>
    var a="<script>alert(1)</s"+"cript>";
    //var a="<img src=1 onerror=alert(1)>";
    document.getElementById("id").innerHTML=a;
    </script>
    </body>
    </html>

    这段代码,虽然成功插入了script标签,但是没有执行,如果改为插入img标签则可以执行

    首先的猜想是:

    onerror 事件在 DOM 树构建完成之后触发,而 script 标签内的内容在 DOM 解析中触发,但是可以看一下这个例子

    例子2:

    <script type="text/javascript" id="id2"></script>
    <script>
      var a = "alert(/script/)";
      document.getElementById("id2").innerText = a;
    </script>

    这里正确执行了JS,说明浏览器在解析并执行第二个 script 标签时,回头执行了第一个 script 标签内的内容,而第一个 script 标签此时已经成功加入了 DOM 树里,这可能是因为浏览器在遇到 script 标签,或者对 script 标签进行 DOM 操作的时候,会刷新一次页面渲染,因为浏览器在碰到 script 标签的时候,需要渲染页面保证 script 能获取到最新的 DOM 元素信息,可以看下这个:链接:原来 CSS 与 JS 是这样阻塞 DOM 解析和渲染的 - 掘金

    所以,最开始的例子是对 div 元素进行的 DOM 操作,浏览器不会再触发页面渲染并执行动态创建的 script,创建的 script 无法在解析中执行,关于浏览器的执行流程可以看下这个:链接:浏览器的工作原理:现代网络浏览器幕后揭秘 - HTML5 Rocks

    再看一个例子:

    <div id="id"></div>
    <script>
    var a = document.createElement('script');
    a.innerText = 'alert(/xx/)';
    document.getElementById("id").appendChild(a);
    </script>

    这个例子里JS成功触发,于是可能最开始的猜想就是正确的,对script标签的DOM操作,无论他是被操作还是操作,都会进行一次渲染,那么这个怎么用正确的术语描述呢?

    掘金那篇文章的一个评论

    可以翻墙的看看下面这篇文章: https://developers.google.com/web/fundamentals/performance/critical-rendering-path/?hl=zh-cn CSSOM树和DOM树是分开构建,之所以把link标签放抬头而script放body尾部,是因为浏览器遇到script标签时,会去下载并执行js脚本,从而导致浏览器暂停构建DOM。然而JS脚本需要查询CSS信息,所以JS脚本还必须等待CSSOM树构建完才可以执行。 这将相当于CSS阻塞了JS脚本,JS脚本阻塞了DOM树构建。是这样子的关联才对。 只要设置CSS脚本提前加载避免阻塞JS脚本执行时CSSOM树还没构建好,同时给script标签设置async就可以解决这个问题

    https://developers.google.com/web/fundamentals/?hl=zh-cn 这个貌似比较详细的解释了浏览器

    简言之,JavaScript 在 DOM、CSSOM 和 JavaScript 执行之间引入了大量新的依赖关系,从而可能导致浏览器在处理以及在屏幕上渲染网页时出现大幅延迟:
    
    - 脚本在文档中的位置很重要。
    - 当浏览器遇到一个 script 标记时,DOM 构建将暂停,直至脚本完成执行。
    - JavaScript 可以查询和修改 DOM 与 CSSOM。
    - JavaScript 执行将暂停,直至 CSSOM 就绪。
    
    “优化关键渲染路径”在很大程度上是指了解和优化 HTML、CSS 和 JavaScript 之间的依赖关系谱。

    看了一些文章,了解了reflow和repaint的概念,可能需要重新审视最开始的代码为什么没有进入JS环境

    毫无疑问,innerHTML会执行回流操作,并且 innerHTML 中的东西会被加入DOM树,

    innerHTML会解析其中的 html 代码并将其加入 DOM 树:https://developer.mozilla.org/en-US/docs/Web/API/DOMParser

    那么就有点奇怪,如果 innerHTML 使 script 加入了 DOM 树,并且触发了回流操作,那么为什么不会执行呢?

    同样的,innerText给 script 标签加入代码,也会回流(reflow) DOM 树,并且执行了 JS 代码

    需要调试一下chrome,确定他什么时候会进入JS环境

    Chrome是如何执行JavaScript的

    对于例子1和例子2,猜测他们存在一个分流点,例子1进入了不能调用JS引擎的分支,例子2则进入了能够调用JS引擎的分支,要找到这个地方,就需要找到调用JS引擎的入口函数,从而回溯调用链,为了找到这个入口函数,我们先调试一个简单的例子

    <script>alert(1)</script>

    第一个断点断在 HTMLTreeBuilder::ProcessToken(AtomicHTMLToken* token) 这个函数上,看一下从浏览器打开页面到开始处理token之间经过了什么,这里不是我们这篇文章的重点,所以准备一笔带过,关于token是什么以及浏览器如何构建DOM树,可以看这篇文章:https://zhuanlan.zhihu.com/p/24911872

    打开页面之后首先是创建进程,创建消息循环,创建渲染线程,创建渲染视图,接着创建Main frame,加载document对象,解析document对象,然后进入token的循环处理阶段(token的循环处理函数定义在html_document_parser.cc里的HTMLDocumentParser::ProcessTokenizedChunkFromBackgroundParser 函数中)

    接着,处理第一个token AtomicHTMLToken kEndOfFile(只在第一次打开这个标签页的时候需要处理,刷新当前标签页的话没有这个token),紧接着的是第二个token:script的起始标签 AtomicHTMLToken kStartTag name "script",然后是第三个token:script标签中的字符 AtomicHTMLToken kCharacter data "alert(1);",最后,就是script的闭合标签 AtomicHTMLToken kEndTag name "script",紧接着就会进入js执行环境,从这里开始单步调试

    1.一开始是 ProcessEndTag 函数,将token当做参数传递进去

    2.进入函数后调用了GetInsertionMode() 检查token的类型,粗略看了一下有 kAfterHeadMode, kInBodyMode 之类的,我们这里的script闭合标签是 kTextMode

    case kTextMode:
          if (token->GetName() == scriptTag &&
              tree_.CurrentStackItem()->HasTagName(scriptTag)) {
            // Pause ourselves so that parsing stops until the script can be
            // processed by the caller.
            if (ScriptingContentIsAllowed(tree_.GetParserContentPolicy()))
              script_to_process_ = tree_.CurrentElement();
            tree_.OpenElements()->Pop();
            SetInsertionMode(original_insertion_mode_);
    
            if (parser_->Tokenizer()) {
              // We must set the tokenizer's state to DataState explicitly if the
              // tokenizer didn't have a chance to.
              parser_->Tokenizer()->SetState(HTMLTokenizer::kDataState);
            }
            return;
          }
          tree_.OpenElements()->Pop();
          SetInsertionMode(original_insertion_mode_);
          break;

    3.首先判断了是否是script标签,然后判断这个script是否可以执行,都判断通过了,则标记为script_toprocess

    判断script是否能执行的函数:

    static inline bool ScriptingContentIsAllowed(
        ParserContentPolicy parser_content_policy) {
      return parser_content_policy == kAllowScriptingContent ||
             parser_content_policy ==
                 kAllowScriptingContentAndDoNotMarkAlreadyStarted;
    }

    4.接着执行了一个函数SetInsertionMode(original_insertion_mode_);,把之前的kTextMode改成了kInHeadMode,难道说对script标签都默认在head里??

    5.return之后回到了HTMLTreeBuilder::ConstructTree(AtomicHTMLToken* token) 函数中,执行最后一步tree_.ExecuteQueuedTasks()

    void HTMLConstructionSite::ExecuteQueuedTasks() {
      // This has no affect on pendingText, and we may have pendingText remaining
      // after executing all other queued tasks.
      const size_t size = task_queue_.size();
      if (!size)
        return;
    
      // Fast path for when |size| is 1, which is the common case
      if (size == 1) {
        HTMLConstructionSiteTask task = task_queue_.front();
        task_queue_.pop_back();
        ExecuteTask(task);
        return;
      }
    
      // Copy the task queue into a local variable in case executeTask re-enters the
      // parser.
      TaskQueue queue;
      queue.swap(task_queue_);
    
      for (auto& task : queue)
        ExecuteTask(task);
    
      // We might be detached now.
    }

    在判断task_size那里直接return了,因为队列里没有其他任务了,回到了最开始的HTMLDocumentParser::ProcessTokenizedChunkFromBackgroundParser 函数,触发了pause并且是script类型的pause,进入判断script的函数HTMLDocumentParser::IsWaitingForScripts()

    bool HTMLDocumentParser::IsWaitingForScripts() const {
      // When the TreeBuilder encounters a </script> tag, it returns to the
      // HTMLDocumentParser where the script is transfered from the treebuilder to
      // the script runner. The script runner will hold the script until its loaded
      // and run. During any of this time, we want to count ourselves as "waiting
      // for a script" and thus run the preload scanner, as well as delay completion
      // of parsing.
      bool tree_builder_has_blocking_script =
          tree_builder_->HasParserBlockingScript();
      bool script_runner_has_blocking_script =
          script_runner_ && script_runner_->HasParserBlockingScript();
      // Since the parser is paused while a script runner has a blocking script, it
      // should never be possible to end up with both objects holding a blocking
      // script.
      DCHECK(
          !(tree_builder_has_blocking_script && script_runner_has_blocking_script));
      // If either object has a blocking script, the parser should be paused.
      return tree_builder_has_blocking_script ||
             script_runner_has_blocking_script ||
             reentry_permit_->ParserPauseFlag();
    }

    判断了是在tree_builder里触发的script pause还是在script_runner里,这里是在tree_builder里触发的block,判断依据是之前第二部标记的script_toprocess ,tree_builder_has_blocking_script返回true,暂停DOM树的构建,转去执行JS

    if (IsPaused()) {
          // The script or stylesheet should be the last token of this bunch.
          DCHECK_EQ(it + 1, tokens->end());
          if (IsWaitingForScripts())
            RunScriptsForPausedTreeBuilder();
          ValidateSpeculations(std::move(chunk));
          break;
        }

    6.首先判断script是否是最后一个token,然后进入RunScriptsForPausedTreeBuilder()函数

    void HTMLDocumentParser::RunScriptsForPausedTreeBuilder() {
      DCHECK(ScriptingContentIsAllowed(GetParserContentPolicy()));
    
      TextPosition script_start_position = TextPosition::BelowRangePosition();
      Element* script_element =
          tree_builder_->TakeScriptToProcess(script_start_position);
      // We will not have a scriptRunner when parsing a DocumentFragment.
      if (script_runner_)
        script_runner_->ProcessScriptElement(script_element, script_start_position);
      CheckIfBodyStylesheetAdded();
    }

    到scriptrunner->ProcessScriptElement(script_element, script_start_position);(html_parser_script_runner.cc,跟进去

    void HTMLParserScriptRunner::ProcessScriptElement(
        Element* script_element,
        const TextPosition& script_start_position) {
      DCHECK(script_element);
    
      // FIXME: If scripting is disabled, always just return.
    
      bool had_preload_scanner = host_->HasPreloadScanner();
    
      // Spec: An end tag whose tag name is "script" ... [spec text]
      //
      // Try to execute the script given to us.
      ProcessScriptElementInternal(script_element, script_start_position);
    
      // Spec: ... At this stage, if there is a pending parsing-blocking script,
      // then: [spec text]
      if (HasParserBlockingScript()) {
        // Step A. If the script nesting level is not zero: ... [spec text]
        if (IsExecutingScript()) {
          // Step A. ... Set the parser pause flag to true, and abort the processing
          // of any nested invocations of the tokenizer, yielding control back to
          // the caller. (Tokenization will resume when the caller returns to the
          // "outer" tree construction stage.) [spec text]
          //
          // TODO(hiroshige): set the parser pause flag to true here.
    
          // Unwind to the outermost HTMLParserScriptRunner::processScriptElement
          // before continuing parsing.
          return;
        }
    
        // - "Otherwise":
    
        TraceParserBlockingScript(ParserBlockingScript(),
                                  !document_->IsScriptExecutionReady());
        parser_blocking_script_->MarkParserBlockingLoadStartTime();
    
        // If preload scanner got created, it is missing the source after the
        // current insertion point. Append it and scan.
        if (!had_preload_scanner && host_->HasPreloadScanner())
          host_->AppendCurrentInputStreamToPreloadScannerAndScan();
    
        ExecuteParsingBlockingScripts();
      }
    }

    ProcessScriptElementInternal(script_element, script_start_position); 执行完后 JS执行成功

    因为ProcessScriptElementInternal函数有点长所以不全放进来了,最重要的是这一段:

    if (!IsExecutingScript())
          Microtask::PerformCheckpoint(V8PerIsolateData::MainThreadIsolate());
    
        // Spec: ... Let the old insertion point have the same value as the current
        // insertion point. Let the insertion point be just before the next input
        // character. ... [spec text]
        InsertionPointRecord insertion_point_record(host_->InputStream());
    
        // Spec: ... Increment the parser's script nesting level by one. ... [spec
        // text]
        HTMLParserReentryPermit::ScriptNestingLevelIncrementer
            nesting_level_incrementer =
                reentry_permit_->IncrementScriptNestingLevel();
    
        // Spec: ... Prepare the script. This might cause some script to execute,
        // which might cause new characters to be inserted into the tokenizer, and
        // might cause the tokenizer to output more tokens, resulting in a reentrant
        // invocation of the parser. ... [spec text]
        script_loader->PrepareScript(script_start_position);

    最后一行调用了script_loader->PrepareScript,这是一个非常重要的函数,里面进行了多次判断当前的script是否可以执行,并对当前的执行上下文进行了检测和分类,同时看到这里的注释:这一步可能导致JS的执行并增加更多的token,可以说从这个函数开始就是每个script执行时必须要经过的地方,最后调用

    ScriptLoader::ExecuteScriptBlock
    script->RunScript(frame, element_->GetDocument().GetSecurityOrigin())

    执行了JS,建议看下PrepareScript这个函数里的几十个判断,能理解chromium对script的执行有什么限制

    7.之后,因为当前的token都已经被处理,所以ProcessTokenizedChunkFromBackgroundParser执行完成,回到了HTMLDocumentParser::PumpPendingSpeculations继续下一步,进行一个检查后也结束了PumpPendingSpeculations的过程

    // Always check isParsing first as m_document may be null. Surprisingly,
        // isScheduledForUnpause() may be set here as a result of
        // processTokenizedChunkFromBackgroundParser running arbitrary javascript
        // which invokes nested event loops. (e.g. inspector breakpoints)
        CheckIfBodyStylesheetAdded();
        if (!IsParsing() || IsPaused() || IsScheduledForUnpause())
          break;
    
        if (speculations_.IsEmpty() ||
            parser_scheduler_->YieldIfNeeded(
                session, speculations_.front()->starting_script))
          break;

    但是token的循环仍然没有结束,还有最后一个kEndOfFile的token需要处理,当这个token处理完成后,DOM树构建,如果这时继续单步调试可以发现call stack里的函数越来越少

    下篇将解析DOM操作以及相关思考。

    DOM操作

    回到正题,通过调试找到文章最开头两个例子的区别,先回想一下刚才调试的过程中我们拿到了什么能够帮助我们的信息

    1. 浏览器在获取到script end tag的token的时候会进入JS环境
    2. 浏览器在每次ProcessToken的时候都会Flush一遍当前的DOM树
    3. 如果浏览器在解析过程中遇到了可以执行的script,会在HTMLDocumentParser::ProcessTokenizedChunkFromBackgroundParser这个函数中pause并且进入JS环境
    4. PrepareScript可能是所有JS执行前需要执行的函数

    那么就来调试一下简化的能触发alert的版本

    <script type="text/javascript" id="id"></script>
    <script>
    var a="alert(1)";
    document.getElementById("id").innerHTML=a;
    </script>

    首先看一下一共有多少token需要处理:

    AtomicHTMLToken kStartTag name "script"
    AtomicHTMLToken kEndTag name "script"
    AtomicHTMLToken kCharacter data "
    "
    AtomicHTMLToken kStartTag name "script"
    AtomicHTMLToken kCharacter data "
    var a="alert(1)";
    document.getElementById("id").innerHTML=a;
    "
    AtomicHTMLToken kEndTag name "script"
    AtomicHTMLToken kCharacter data "alert(1)"
    AtomicHTMLToken kEndOfFile
    AtomicHTMLToken kCharacter data "
    "
    AtomicHTMLToken kEndOfFile

    可以发现,alert(1)单独作为一个token出现了,并且他前后都没有自己的script token,他被插入的目标script token在最开始就已经被加入

    这次我们断在script的入口点 ScriptLoader::PrepareScript ,很明显的,进入了三次 ScriptLoader::PrepareScript 函数,每进入一次scriptloader,chromium都会判断这个script能否被执行,第一次进入scriptloader的时候没有通过其中这个判断

    if (!element_->HasSourceAttribute() && !element_->HasChildren())
        return false;

    因为他是一个空的script标签,所以没有执行,而第二,三次进入scriptloader都通过了所有判断最后执行

    先来看第三次进入scriptloader的时候,即执行alert的时候通过了什么函数

    经过层层判断,并且按照是inline的script还是有src属性的script进行分类之后,进入ScriptLoader::ExecuteScriptBlock(TakePendingScript(), script_url) 这个函数里

    然后又是经过一系列的判断和check...进入script->RunScript(frame, element_->GetDocument().GetSecurityOrigin());这个函数就是我们上个章节没有跟进去的地方

    给RunScript下个断点,继续深入

    进入了classic_script.cc里

    void ClassicScript::RunScript(LocalFrame* frame,
                                  const SecurityOrigin* security_origin) const {
      frame->GetScriptController().ExecuteScriptInMainWorld(
          GetScriptSourceCode(), BaseURL(), FetchOptions(), access_control_status_);
    }

    获取了sourcecode,baseurl和options之后,终于要进入v8的世界了

    script_controller.cc

    void ScriptController::ExecuteScriptInMainWorld(
        const ScriptSourceCode& source_code,
        const KURL& base_url,
        const ScriptFetchOptions& fetch_options,
        AccessControlStatus access_control_status) {
      v8::HandleScope handle_scope(GetIsolate());
      EvaluateScriptInMainWorld(source_code, base_url, fetch_options,
                                access_control_status,
                                kDoNotExecuteScriptWhenScriptsDisabled);
    }

    一条很长的调用链:

    ScriptController::ExecuteScriptInMainWorld
    ScriptController::ExecuteScriptAndReturnValue
    V8ScriptRunner::RunCompiledScript
    Script::Run(Local<Context> context)
    MaybeHandle<Object> Execution::Call
    MaybeHandle<Object> CallInternal
    V8_WARN_UNUSED_RESULT MaybeHandle<Object> Invoke
    IntrinsicsGenerator::Call

    暂时就看到这里,我们先看看没有执行alert的例子1在目前这个阶段和当前的例子2有什么不同:

    <div id="id"></div>
    <script>
    var a="<script>alert(1)</s"+"cript>";
    document.getElementById("id").innerHTML=a;
    </script>

    还是先断在ProcessToken,看下当前这个html有几个token需要处理

    AtomicHTMLToken kEndOfFile
    AtomicHTMLToken kStartTag name "div"
    AtomicHTMLToken kEndTag name "div"
    AtomicHTMLToken kCharacter data "
    "
    AtomicHTMLToken kStartTag name "script"
    AtomicHTMLToken kCharacter data "
    var a="<script>alert(1)</s"+"cript>";
    document.getElementById("id").innerHTML=a;
    "
    AtomicHTMLToken kEndTag name "script"
    AtomicHTMLToken kStartTag name "script"
    AtomicHTMLToken kCharacter data "alert(1)"
    AtomicHTMLToken kEndTag name "script"
    AtomicHTMLToken kEndOfFile
    AtomicHTMLToken kEndOfFile

    这下看出了一些问题,被DOM操作添加的script标签,竟然也在token里面,但是他并没有执行,这就比较好办,直接单步看最后一个script EndTag是如何处理的,和上一个html的alert token对比就行,要是没有这个token的话,就需要看执行DOM操作之后的回调操作了,这里也就验证了最开始的一个观点:

    毫无疑问,innerHTML会执行回流操作,并且查到innerHTML中的东西会被加入DOM树

    那么来看一下这里为什么没有进入JS的执行环境吧

    把断点打在ProcessToken和PrepareScript上,执行到最后一个script EndTag

    好的,出现问题了,最后一个script闭合标签根本没有走到PrepareScript里,需要再往前打断点

    试试打在这里:HTMLParserScriptRunner::ProcessScriptElement

    也没进入….需要直接在ProcessToken后单步调

    在HTMLDocumentParser::PumpTokenizer() 这个函数里的IsPaused() 是false,所以没有进入JS环境,同时注意到这里的函数是PumpTokenizer而不是之前执行JS的时候进入的HTMLDocumentParser::ProcessTokenizedChunkFromBackgroundParser,而在PumpTokenizer里isPaused()函数就算判断成功了好像也不会进入JS环境?

    PumpTokenizer的判断

    if (IsPaused()) {
        DCHECK_EQ(tokenizer_->GetState(), HTMLTokenizer::kDataState);
    
        DCHECK(preloader_);
        // TODO(kouhei): m_preloader should be always available for synchronous
        // parsing case, adding paranoia if for speculative crash fix for
        // crbug.com/465478
        if (preloader_) {
          if (!preload_scanner_) {
            preload_scanner_ = CreatePreloadScanner(
                TokenPreloadScanner::ScannerType::kMainDocument);
            preload_scanner_->AppendToEnd(input_.Current());
          }
          ScanAndPreload(preload_scanner_.get());
        }
      }

    ProcessTokenizedChunkFromBackgroundParser的判断

    if (IsPaused()) {
          // The script or stylesheet should be the last token of this bunch.
          DCHECK_EQ(it + 1, tokens->end());
          if (IsWaitingForScripts())
            RunScriptsForPausedTreeBuilder();
          ValidateSpeculations(std::move(chunk));
          break;
        }

    是在处理token之前就进行的判断

    看下PumpTokenizer之前的函数调用栈,发现果然出现了 V8Element::innerHTMLAttributeSetterCallback ,

    在其中的 V8Element::innerHTMLAttributeSetterCustom 下个断点,对比两个例子的执行差异

    先来看不能执行JS的例子1

    整个调用链是:

    V8Element::innerHTMLAttributeSetterCallback
    V8Element::innerHTMLAttributeSetterCustom
    Element::setInnerHTML
    Element::SetInnerHTMLFromString
    ReplaceChildrenWithFragment

    然后发现了封装的地方,是ContainerNode::AppendChild :

    container_node->RemoveChildren();
      container_node->AppendChild(fragment, exception_state);

    首先remove需要操作的node的所有children,然后再把当前node添加进去,其中container_node的数据类型是blink::HTMLDivElement *一个指向div元素的指针

    Node* ContainerNode::AppendChild(Node* new_child,
                                     ExceptionState& exception_state) {
      DCHECK(new_child);
      // Make sure adding the new child is ok
      if (!EnsurePreInsertionValidity(*new_child, nullptr, nullptr,
                                      exception_state))
        return new_child;
    
      NodeVector targets;
      DOMTreeMutationDetector detector(*new_child, *this);
      if (!CollectChildrenAndRemoveFromOldParent(*new_child, targets,
                                                 exception_state))
        return new_child;
      if (!detector.HadAtMostOneDOMMutation()) {
        if (!RecheckNodeInsertionStructuralPrereq(targets, nullptr,
                                                  exception_state))
          return new_child;
      }
    
      NodeVector post_insertion_notification_targets;
      {
        ChildListMutationScope mutation(*this);
        InsertNodeVector(targets, nullptr, AdoptAndAppendChild(),
                         &post_insertion_notification_targets);
      }
      DidInsertNodeVector(targets, nullptr, post_insertion_notification_targets);
      return new_child;
    }

    其中ContainerNode包含了大多数的DOM操作,appendChild, getElementById, getElementByName...

    之后经过了许多判断后返回,这里因为我们首先调试的是不能执行JS的,不好判断是哪里触发,所以准备先通过调试能执行JS的判断触发点

    接着来看下能执行JS的回调链

    整个调用链是:

    V8Element::innerHTMLAttributeSetterCallback
    V8Element::innerHTMLAttributeSetterCustom
    Element::setInnerHTML
    Element::SetInnerHTMLFromString
    ReplaceChildrenWithFragment
    ContainerNode::AppendChild

    和前面的调用链一样,但是在ContainerNode::AppendChild中的DidInsertNodeVector(targets, nullptr, post_insertion_notification_targets); 执行后触发了JS,可以从这个函数开始调

    DidInsertNodeVector调用了container_node里的ChildrenChange结构体的ForInsertion函数进行对node的添加

    static ChildrenChange ForInsertion(Node& node,
                                           Node* unchanged_previous,
                                           Node* unchanged_next,
                                           ChildrenChangeSource by_parser) {
          ChildrenChange change = {
              node.IsElementNode() ? kElementInserted : kNonElementInserted, &node,
              unchanged_previous, unchanged_next, by_parser};
          return change;
        }

    这里node.IsElementNode() 是false,因为这里的node只有alert(1),而前面不能执行JS的例子这里就是true,因为他是一个完整的script node

    继续往下走,直到这个函数 html_script_element.cc

    void HTMLScriptElement::ChildrenChanged(const ChildrenChange& change) {
      HTMLElement::ChildrenChanged(change);
      if (change.IsChildInsertion())
        loader_->ChildrenChanged();
    }

    直觉这可能就是我们要找的地方,对script标签的ChildrenChange,这里,于是调用了loader里的ChildrenChanged() script_loader.cc

    void ScriptLoader::ChildrenChanged() {
      if (!parser_inserted_ && element_->IsConnected())
        PrepareScript();  // FIXME: Provide a real starting line number here.
    }

    看到了熟悉的PrepareScript,执行完这个函数后JS执行

    于是我们可以猜测,有一个类似的 HTMLDivElement::ChildrenChanged 或者是其余常规标签单独一个ChildrenChanged,并且不会进入JS环境,调试看看

    是后一种猜测:

    void HTMLElement::ChildrenChanged(const ChildrenChange& change) {
      Element::ChildrenChanged(change);
      AdjustDirectionalityIfNeededAfterChildrenChanged(change);
    }

    对div标签进行的innerHTML操作调用了HTMLElement::ChildrenChanged而非能进入JS环境的ScriptLoader::ChildrenChanged,至此,关于开头提出的问题已经解释清楚了,最开始的猜想基本是正确的

    思考延伸

    1.除了script,还有什么标签独立设置了ChildrenChanged,为什么?

    没有调用 HTMLElement::ChildrenChanged,有自己的处理的:

    styleElement:

    StyleElement::ProcessingResult StyleElement::ChildrenChanged(Element& element)

    Object:

    void HTMLObjectElement::ChildrenChanged(const ChildrenChange& change)

    Menu:

    void MenuItemView::ChildrenChanged()

    调用了 HTMLElement::ChildrenChanged 但是有其他操作的:

    Input_element:

    void HTMLInputElement::ChildrenChanged(const ChildrenChange& change)

    textarea:

    void HTMLTextAreaElement::ChildrenChanged(const ChildrenChange& change)

    title:

    void HTMLTitleElement::ChildrenChanged(const ChildrenChange& change)

    Svg:

    void SVGElement::ChildrenChanged(const ChildrenChange& change)

    2.innerHTML+=和innerHTML=会有什么不同

    innerHTML+=和innerHTML在DOM树上的操作基本一样,都需要对目标节点里的东西重新添加一遍,而如果目标节点是script标签的话:

    在PrepareScript函数中,第一步就是判断这个script是否已经start

    // Step 1. If the script element is marked as having "already started", then
      // return. The script is not executed. [spec text]
      if (already_started_)
        return false;

    在第九步的时候,设置already_started_为true

    // Step 9. Set the element's "already started" flag. [spec text]
      already_started_ = true;

    所以,如果对一个已经执行过的scirpt标签用innerHTML+=添加一个javascript语句,这个语句也是不会执行的,如果对一个空的script标签用innerHTML+=的话则会执行,因为在第五步的时候会判断script标签是否有内容,没有的话直接return,则没有进入第九步设置already_started_处

    // Step 5. If the element has no src attribute, and source text is the empty
      // string, then return. The script is not executed.
      //
      // TODO(hiroshige): Update the behavior according to the spec.
      if (!element_->HasSourceAttribute() && !element_->HasChildren())
        return false;

    3.什么时候会进入JS环境

    如果需要进入JS环境,则必须要有PrepareScript的过程,通过查找PrepareScript函数的调用则可以明确知道什么时候的JS有机会执行,什么时候没机会执行

    4.在文章的最开头缘由部分我还举了这样一个例子:

    <div id="id"></div>
    <script>
    var a = document.createElement('script');
    a.innerText = 'alert(/xx/)';
    document.getElementById("id").appendChild(a);
    </script>

    这样是可以成功执行的,那么这里是为什么可以执行,JS的触发点在哪里?

    根据之前的调试经验,先猜测这里一共会有这几个token:

    div start
    div end
    data 
    
    script start
    data "var a = document.createElement('script');..."
    script end
    script start
    data alert
    script end

    并且很可能执行alert是在appencChild的回调函数里

    来调试试试,首先断在ProcessToken处

    token里并没有appendchild加入的script节点,因为断点断在ProcessToken,而这个函数是用于处理标签文本的,用createElement创建的节点不需要再经过一次这样的处理

    AtomicHTMLToken kStartTag name "div"
    AtomicHTMLToken kEndTag name "div"
    AtomicHTMLToken kCharacter data "
    "
    AtomicHTMLToken kStartTag name "script"
    AtomicHTMLToken kCharacter data "
    var a = document.createElement('script');
    a.innerText = 'alert(/xx/)';
    document.getElementById("id").appendChild(a);
    "
    AtomicHTMLToken kEndTag name "script"
    AtomicHTMLToken kEndOfFile

    要注意的一个细节是,前面的例子里innerHTML的回调是在处理完所有的token之后才进行的, 那么这里的JS触发点到底在哪,有了前面的经验,可以直接在PrepareScript处下一个断点,查看调用栈,PrepareScript一共调用了3次,第三次时alert触发,这不意外,因为每一次刷新DOM树都会导致script节点进入PrepareScript函数,但是已经执行过的script节点则不会走到最后的执行阶段,于是断点下的再深一点,下在ScriptLoader::ExecuteScriptBlock函数里的script->run处,这次只调用了两次,第二次调用时alert执行

    查看执行alert的时候的调用栈,直接调用PrepareScript函数的地方是这个

    void ScriptLoader::DidNotifySubtreeInsertionsToDocument() {
      if (!parser_inserted_)
        PrepareScript();  // FIXME: Provide a real starting line number here.
    }

    往上看,在执行完 ContainerNode::AppendChild 之后,也就是插入子节点之后,调用了这个函数:

    void ContainerNode::DidInsertNodeVector(
        const NodeVector& targets,
        Node* next,
        const NodeVector& post_insertion_notification_targets) {
      Node* unchanged_previous =
          targets.size() > 0 ? targets[0]->previousSibling() : nullptr;
      for (const auto& target_node : targets) {
        ChildrenChanged(ChildrenChange::ForInsertion(
            *target_node, unchanged_previous, next, kChildrenChangeSourceAPI));
      }
      for (const auto& descendant : post_insertion_notification_targets) {
        if (descendant->isConnected())
          descendant->DidNotifySubtreeInsertionsToDocument();
      }
      for (const auto& target_node : targets) {
        if (target_node->parentNode() == this)
          DispatchChildInsertionEvents(*target_node);
      }
      DispatchSubtreeModifiedEvent();
    }

    其中 descendant->DidNotifySubtreeInsertionsToDocument(); 即是调用的ScriptLoader::DidNotifySubtreeInsertionsToDocument(),所以又验证了一个猜想,如果appendChild的child是一个script节点,那么就会进入JS环境

  • 相关阅读:
    使用文件进行优化 分类: python 小练习 divide into python python基础学习 2014-01-01 14:13 228人阅读 评论(0) 收藏
    生成器的应用例子 分类: python 小练习 divide into python python基础学习 2013-12-31 21:32 236人阅读 评论(0) 收藏
    生成器介绍 分类: python 小练习 python基础学习 divide into python 2013-12-31 21:17 226人阅读 评论(0) 收藏
    以lambda形式优化结构 分类: python 小练习 divide into python python基础学习 2013-12-30 21:07 279人阅读 评论(0) 收藏
    优化程序结构 分类: divide into python python 小练习 2013-12-30 20:53 229人阅读 评论(0) 收藏
    过滤(s='good ' if m%2==0 else 'bad') 分类: python 小练习 python基础学习 2013-12-27 13:45 220人阅读 评论(0) 收藏
    python中的除法和取模 分类: python基础学习 2013-12-27 12:49 572人阅读 评论(0) 收藏
    自动化测试理论 分类: 测试 2013-12-25 20:49 241人阅读 评论(0) 收藏
    琐碎知识点 分类: divide into python 2013-12-25 20:01 185人阅读 评论(0) 收藏
    Linux查看进程的内存占用情况 分类: ubuntu 测试 2013-12-20 12:37 369人阅读 评论(0) 收藏
  • 原文地址:https://www.cnblogs.com/bigben0123/p/13253770.html
Copyright © 2011-2022 走看看