javascript

修好 Trac 1.6 上的 TracSubtickets

Trac 1.6 總算從死了三年的 Python 2.7 換成了 Python 3，所以算是蠻強大的升級動力，但也可以想像到相關的 plugin 其實因此爛了不少，加上 Trac 現再用的人愈來愈少，沒有人會修這些問題，所以你就得當「沒有人」跳下去修...

標題上提到的 TracSubtickets 算是這樣的一個套件，他的概念很好用，但大概從 Trac 1.2 以後就沒什麼更新了，先前有遇到 MySQL 8.0 的資料庫搭配起來會撞到關鍵字而出錯，得自己修。

而這次遇到的問題是 TracSubtickets 在頁面輸出子票資訊時用到 ITemplateStreamFilter 這個功能，而從官方文件開頭也可以看到問題：Trac 1.4 的時候內部的 template engine 就從自家研發的 Genshi 換成了 Python 社群用的更廣泛的 Jinja2，但當時只是先標成 deprecated，還沒到不能用，直到 Trac 1.5.1 時拔掉了，所以接下來的 Trac 1.6 就沒得用了。

在官方的「Replacing the ITemplateStreamFilter interface」有提出建議的方法，是用 JavaScript 改 DOM：

The only way left to alter the generated content is to perform these modifications dynamically on client-side using JavaScript.

我看了半天 Trac 1.6 的程式碼，看起來的確沒有什麼比較好的方法可以處理... 只能回來照官方的方法走，後續的問題就是看要處理的多乾淨 (或是多髒)。

因為 Trac 本身沒有 client template engine (像是 React 或是 Vue 之類的)，我決定這邊還是讓 server 端全部把 html string 都產生出來，再由 client 端生一個 div 直接用 innerHTML 塞進去：這樣就不用傳一包 JSON 到 client 端慢慢組了...

於是就出現了這包 diff/patch：「Comparing cae40fb..master · gslin/trac-subtickets-plugin」。

基本的思路是，既然以前的 filter_stream() 是產生 html tree 的程式碼，那就重複拿來用，把結果輸出轉成 html string，用 add_script_data 丟到 window 下的 global variable (喔耶)，再寫一段 javascript 把這串東西塞進本來在的 DOM 位置。

這樣至少就能動了...

uBlock Origin 可以修改 DOM event

在 Hacker News 上看到的「Just normal web things (heather-buchel.com)」這篇，原文「Just normal web things.」本來在抱怨一些 SPA 年代常遇到的問題，但我注意到的反而是討論裡的 id=37018421 這則，介紹了 uBlock Origin 可以修改特定的 DOM event：

New Reddit also messes with text selection with unnecessary JS crap. Wherever you select some text, they show an "Embed" button that prevents you from dragging the text to a new tab to perform a web search.

Thankfully this behaviour can be blocked with uBlock Origin by adding these rules:

  www.reddit.com##+js(aeld, mousedown, isSelectionOutOfRange)
  www.reddit.com##+js(aeld, mouseup, shouldShowButton)

翻了 uBlock Origin 的 wiki 文件，這應該是 aeld.js / addEventListener-defuser.js 這個功能：

Prevents attaching event listeners.

aeld 可以阻止某些事件掛到 DOM 元素上，這感覺好像可以少寫不少 userscript，單純用 uBlock Origin 設條件就可以做到了？

另外在同一頁上 (Resources Library 這頁) 也有其他有趣的東西，像是拔掉 timeout 設定或是某些 attribute 的內容，另外也可以對 API 傳回來的 JSON 或 XML 內容進行刪除某些欄位...

算是意外注意到，後續希望遇到的時候可以想起來...

透過 mDNS 建立內部網路的 fingerprint

在 Hacker News 上看到透過 mDNS 建立 fingerprint 的方式，進而定位使用者身分：「Brute-forcing a macOS user’s real name from a browser using mDNS (fingerprint.com)」，原文在「Demo: Brute-forcing a macOS user’s real name from a browser using mDNS」。

利用發 HTTP(s) request 出去時，雖然都是傳回 Failed to fetch 錯誤，但因為 hostname 存在時會是 connection timeout，而不存在時會直接因為 DNS 查不到而很快 failed 掉，這個時間差異產生了 side channel，可以透過時間差異知道某個 hostname 是否存在。

這個技巧配合字典就可以大量掃描 *.local 的 mDNS 網段，進而產生出內部網路的 fingerprint。

這個問題應該是有標準解法 (或是有被提案過的解法)，就是不讓 internet domain 存取 local domain 的東西，像是避免 internet 上的網站透過 JavaScript 碰到 http://127.0.0.1:xxx/ 的機制。

應該是把 *.local 用同樣方式對待就能避開這個問題？

改善 Wikipedia 的 JavaScript，減少 300ms 的 blocking time

在 Hacker News 首頁上看到「300ms Faster: Reducing Wikipedia's Total Blocking Time」這篇，作者 Nicholas Ray 是 Wikimedia Foundation 的工程師，雖然是貼在自己的 blog 上，但算是半官方性質了... 文章裡面提到了兩個改善都是跟前端 JavaScript 有關的。

作者是透過瀏覽器端的 profiling 產生火焰圖，判讀裡面哪塊是大塊的問題，然後看看有沒有機會改善。

先看最後的成果，可以看到第一個 fix 讓 blocking time 少了 200ms 左右，第二個 fix 則是少了 80ms 左右：

第一個改善是從火焰圖發現 l._enable 吃掉很多 blocking time：

作者發現是因為 find() 找出所有的連結後 (a 元素)，跑去每一個連結上面綁定事件造成的效能問題：

The .on("click") call attached a click event listener to nearly every link in the content so that the corresponding section would open if the clicked link contained a hash fragment. For short articles with few links, the performance impact was negligible. But long articles like ”United States” included over 4,000 links, leading to over 200ms of execution time on low-end devices.

但這其實是 redundant code，在其他地方已經有處理了，所以解法就比較簡單，拔掉後直接少了 200ms：

Worse yet, this behavior was unnecessary. The downstream code that listened to the hashchange event already called the same method that the click event listener called. Unless the window’s location already pointed at the link’s destination, clicking a link called the checkHash method twice — once for the link click event handler and once more for the hashchange handler.

第二個改善是 initMediaViewer 吃掉的 blocking time，從 code 也可以看到問題也類似，跑一個 loop 把事件掛到所有符合條件的元素上面：

這邊的解法是 event delegation，把事件掛到上層的元素，就只需要掛一個，然後多加上檢查事件觸發的起點是不是符合條件就可以了，這樣可以大幅降低「掛」事件的成本。

這點算是常用技巧，像是 table 裡面有事件要掛到很多個 td 的時候，會改成把一個事件掛到 table 上面，另外加上判斷條件。

算是蠻標準的 profiling 過程，直接拉出真實數據來看，然後調有重大影響的部分。

瀏覽器裡同一個節點上 JavaScript 的事件觸發順序

瀏覽器裡 JavaScript 的事件觸發順序是先 capture 再 bubble，這個在「Event order」這邊就有一些歷史解釋，IE8 以前只有 capture 模式，到了 IE9+ 才支援，在「Event API: bubbles」這邊也可以看到。

但如果是同一個節點上面的事件觸發順序 (假設同樣是 capture 或是同樣是 bubble)，在「Are event handlers in JavaScript called in order?」這邊有些整理資料。

2000 年的「Document Object Model (DOM) Level 2 Events Specification」這邊提到沒有定義順序：

When the event reaches the target, any event listeners registered on the EventTarget are triggered. Although all EventListeners on the EventTarget are guaranteed to be triggered by any event which is received by that EventTarget, no specification is made as to the order in which they will receive the event with regards to the other EventListeners on the EventTarget.

在早期的 draft「Document Object Model (DOM) Level 3 Events Specification」裡面可以看到：

Next, the implementation must determine the current target's candidate event listeners. This must be the list of all event listeners that have been registered on the current target in their order of registration. [HTML5] defines the ordering of listeners registered through event handler attributes.

但在最新的「UI Events」(要注意這還是 draft，在 2016 年更新的) 則是拿掉了這段。

所以在設計架構時，正常還是得保守的假設沒有保證執行順序...

網頁版 Google OAuth 的作法

早期的作法是「Integrating Google Sign-In into your web app」這個，但官方已經標注 deprecated 了，在官方的文件上面可以看到對應的警告說明，現在雖然會動，但之後應該會關掉：

Warning: The support of Google Sign-In JavaScript platform library for Web is set to be deprecated after March 31, 2023. The solutions in this guide are based on this library and therefore also deprecated.

本來一開始是走「OAuth 2.0 for Client-side Web Applications」這個，這份文件會教你引入 Google 提供的 javascript library，也就是 https://apis.google.com/js/api.js 這份，但其實沒必要這樣用... 先不管會多吃多少資源，比較敏感的是隱私問題 (像是透過 3rd-party cookie 追蹤)。

後來研究出來比較好的方法是走「Using OAuth 2.0 for Web Server Applications」這邊提到的方式，就算是 javascript 也可以建立出來，像是這樣：

(() => {
  const el = document.getElementById('glogin');
  el.addEventListener('click', () => {
    document.location = 'https://accounts.google.com/o/oauth2/v2/auth?' +
      'client_id=x-x.apps.googleusercontent.com' +
      '&redirect_uri=https://test.example.com/google_redirect_uri.php' +
      '&response_type=code' +
      '&scope=profile+email';
  });
})();

然後這邊的接收端 (google_redirect_uri.php) 是讓 Google 授權後用 redirect 的方式把對應的認證變數 code 帶過來，這邊是用 PHP 實做，有兩個步驟：

先用 POST 打 https://oauth2.googleapis.com/token 取得 (換得) access token，也就是 access_token。
再用 GET 打 https://www.googleapis.com/oauth2/v3/userinfo (帶上一個取得的 access token 進去) 取得使用者資料。

scope 裡如果沒有 email 的話，最後就不會拿到 email，但 SSO 應用應該會需要這個資訊，所以範例裡面還是放進去...

這邊是故意儘量用 PHP 內建的 library 實做，但應該不算複雜，換用 Guzzle 或是用其他語言應該算簡單：

    $qs = http_build_query([
        'code' => $_GET['code'],
        'client_id' => 'x-x.apps.googleusercontent.com',
        'client_secret' => 'x',
        'redirect_uri' => 'https://test.example.com/google_redirect_uri.php',
        'grant_type' => 'authorization_code',
    ]);

    $url = 'https://oauth2.googleapis.com/token';
    $ch = curl_init($url);
    curl_setopt($ch, CURLOPT_POST, true);
    curl_setopt($ch, CURLOPT_POSTFIELDS, $qs);
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
    $res = curl_exec($ch);
    curl_close($ch);

    $data = json_decode($res);

    $atoken = $data->access_token;

    $url = 'https://www.googleapis.com/oauth2/v3/userinfo';
    $ch = curl_init($url);
    curl_setopt($ch, CURLOPT_HTTPHEADER, ["Authorization: Bearer ${atoken}"]);
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
    $res = curl_exec($ch);
    curl_close($ch);

最後的資料就在 $res 裡面，想要看可以直接用 var_dump($res); 看。

這樣只有使用者真的要用 Google SSO 時才會有 request 進到 Google 伺服器。

Node.js 20

看到 Node.js 推出 20 了，官方的公告：「Node.js 20 is now available!」。

裡面提到的 Permission Model，設計上看起來有點雷？這種東西應該要有白名單機制才對，目前看起來是實做黑名單機制...

然後結尾有提到 14 是這個月收攤，16 則是因為 OpenSSL 1.1.1 EoL，打算切齊而提前到今年九月收 (參考 OpenSSL 官方前陣子發的「OpenSSL 1.1.1 End of Life」)：

Also of note is that Node.js 14 will go End-of-Life in April 2023, so we advise you to start planning to upgrade to Node.js 18 (LTS) or Node.js 20 (soon to be LTS).

Please, consider that Node.js 16 (LTS) will go End-of-Life in September 2023, which was brought forward from April 2024 to coincide with the end of support of OpenSSL 1.1.1.

查了 18 會是 2025 年四月底，20 則會是 2026 年四月底...

由 pnpm 做出來的效能比較：npm、yarn 以及 pnpm

找資料的時候看到 pnpm 有在做幾個常見的 javascript package manager 的比較：「Benchmarks of JavaScript Package Managers」。

裡面測了九個項目，其中前八個剛好就是 cache 的有無、lockfile 的有無以及 node_modules 的有無，這三者的組合剛好八個，最後一個是測 update 的速度。

pnpm 因為用了 hard link，我先跳過去，只先關注 npm 與 yarn 的差異。

其中幾個比較重要的項目是 (由最重要開始列)：

with cache, with lockfile, with node_modules：這個會是一般開發的情境。
update：套件有更新時的時間。
with lockfile：這個會是第一次 clone 下來後的環境，以及 CI 的環境。

在一般開發環境下，npm 比 yarn 快一些，這點讓我比較意外，我知道 npm 這幾年一直有在改善效率，但沒想到會在 benchmark 下反超，這個是以前 yarn 很大的宣傳點，現在已經不見了。

第二個是 update (upgrade) 的部份，這邊 yarn 比 npm 快一些。

第三個因為是 CI 環境，或是第一次 clone 時的環境，慢通常可以被接受，不要差太多就好，而這邊 npm 比 yarn 快一些。

但不管是哪個，差距都不像以前那麼大了，就效率上來說，官方的 npm 已經沒有太明顯的缺點，因為效率的差異而去選擇 yarn 的理由已經不存在了。

華盛頓郵報怎麼把 Mapbox 換成其他 open source 方案

在 Hacker News 上面看到「How The Post is replacing Mapbox with open source solutions」這篇，講華盛頓郵報怎麼把 Mapbox 換成 open source 方案，對應的討論在「Replacing Mapbox with open source solutions (kschaul.com)」這邊。

維基百科有提到大概兩年前，2020 年底的時候 Mapbox GL JS 從開源授權換成私有授權了 (也可以參考先前寫的「Mapbox GL JS 的授權改變，以及 MapLibre GL 的誕生」這篇)：

In December 2020, Mapbox released the second version of their JavaScript library for online display of maps, Mapbox GL JS. Previously open source code under a BSD license, the new version switched to proprietary licensing. This resulted in a fork of the open source code, MapLibre GL, and initiation of the MapLibre project.

裡面題到了四個工具。

第一個是 OpenMapTiles，下載部份的圖資使用，對於報導只需要某個區域很方便：

OpenMapTiles is an extensible and open tile schema based on the OpenStreetMap. This project is used to generate vector tiles for online zoomable maps. OpenMapTiles is about creating a beautiful basemaps with general layers containing topographic information.

第二個是 Maputnik，可以修改圖資呈現的方式：

A free and open visual editor for the Mapbox GL styles targeted at developers and map designers.

第三個是 PMTiles，可以將圖資檔案塞到一個大檔案裡面，然後透過 HTTP range requests 下載需要的部份就好，大幅下降 HTTP request 所需要的費用 (很多 CDN 會依照 HTTP request 數量收費)：

Protomaps is a serverless system for planet-scale maps.

An alternative to map APIs at 1% the cost, via single static files on your own cloud storage. Deploy datasets like OpenStreetMap for your site in minutes.

最後就是 fork 出來開源版本的 maplibre-gl-js：

MapLibre GL JS is an open-source library for publishing maps on your websites or webview based apps. Fast displaying of maps is possible thanks to GPU-accelerated vector tile rendering.

It originated as an open-source fork of mapbox-gl-js, before their switch to a non-OSS license in December 2020. The library's initial versions (1.x) were intended to be a drop-in replacement for the Mapbox’s OSS version (1.x) with additional functionality, but have evolved a lot since then.

這樣看起來好像可以用在像 KKTIX 這種下面顯示固定地圖的地方：

jQuery 3.6.2

看到 jQuery 出新版的消息：「jQuery 3.6.2 Released!」。

這個版本的說明裡面針對了 :has() 這個功能著墨，主要還是因為這功能 jQuery 支援很久了，而 Chromium 與 Safai 在最近都開始支援了：「Issue 669058: CSS selectors Level 4: support :has()」、「Using :has() as a CSS Parent Selector and much more」。

不過看起來 jQuery 要整合原生的 :has() 還是有技術困難，因為裡面可能會包括 jQuery 自己定義的 selector extension：

That was problematic in cases where :has() contained another jQuery selector extension (e.g. :has(:contains("Item"))) or contained itself (:has(div:has(a))).

總之，難得又看到 jQuery 的消息... 前一版的 3.6.1 是 2022/08/26，而 3.6.0 則是再一年多前的 2021/03/02，再往前面是 3.5.1 的 2020/05/04 與 3.5.0 的 2020/04/10。

是個歷史...