本章节描述了 Builder 中与安全有关的配置。
undefined仅支持 webpack为 HTML 所引入的子资源添加完整性属性 —— integrity,使浏览器能够验证引入资源的完整性,以此防止下载的资源被篡改。
启动该选项后会将 webpack 的 output.crossOriginLoading 配置项设置为 anonymous。
子资源完整性 Subresource Integrity(SRI)是专门用来校验资源的一种方案,它读取资源标签中的 integrity 属性,将其中的信息摘要值,和资源实际的信息摘要值进行对比,如果发现无法匹配,那么浏览器就会拒绝执行资源。
对于 script 标签来说,结果为拒绝执行其中的代码;对于 CSS link 来说,结果为不加载其中的样式。
关于 SRI 的更多内容,可以查看 Subresource Integrity - MDN。
默认情况下,不会开启 SRI,当开启之后它的默认配置如下:
你可以按照你自己的需求自定义配置项:
false用于分析构建产物中是否存在当前浏览器范围下不兼容的高级语法。如果存在,会将详细信息打印在终端。
你可以将 checkSyntax 设置为 true 来启用语法检测。
当你开启 checkSyntax 后,Builder 会在生产环境构建时进行检测,当在构建产物中检测到不兼容的高级语法后,会将错误日志打印在终端,并退出当前构建流程。
错误日志的格式如下所示,包含代码来源文件、产物位置、错误原因、源代码等信息:
目前语法检测是基于 AST parser 来实现的,每次检测时,只能找出文件中的第一个不兼容语法。如果一个文件中存在多个不兼容语法,你需要修复已发现的语法,并重新执行检测。output.disableMinimize 设置为 true 后再重新构建。
如果日志中没有显示对应的源码位置,可以尝试将
当检测到语法错误后,你可以通过以下方式来处理:
source.include 配置来编译相应的模块。checkSyntax.exclude 配置排除要检查的文件。string[]当前项目的 browserslist 配置targets 表示项目的目标浏览器范围,它的值为标准的 browserslist 数组,如果你不了解 browserslist 的用法,请参考 「设置浏览器范围」。
Builder 会读取 targets 的值,并自动推导出构建产物中可以使用的最低 ECMAScript 语法版本,比如 ES5 或 ES6。
比如,项目中需要兼容的浏览器为 Chrome 53 以上版本,可以添加以下设置:
Builder 会推导出 chrome >= 53 可以使用的 ECMAScript 语法版本为 ES6,当构建产物中包含 es2016 或更高的语法时,就会触发语法错误提示。
请留意,Builder 不支持基于 targets 来自动分析 ES6 以上的语法版本,如果你的构建产物兼容的语法版本超过 ES6,请通过 checkSyntax.ecmaVersion 进行设置。
3 | 5 | 6 | 2015 | 2016 | 2017 | 2018 | 2019 | 2020 | 2021 | 2022 | 'latest'基于 targets 自动分析ecmaVersion 表示构建产物中可以使用的最低 ECMAScript 语法版本,ecmaVersion 的优先级高于 targets。
比如,构建产物中可以使用的最低 ECMAScript 语法版本为 ES2020,可以添加以下设置:
此时,构建产物中可以包含 ES2020 支持的所有语法,比如 optional chaining。
RegExp | RegExp[]undefinedexclude 用于在检测时排除一部分文件,你可以传入一个或多个正则表达式来匹配源文件的路径,符合正则的文件将会被忽略,不会触发语法检测。
比如,忽略 node_modules/foo 目录下的文件: