正如你可能知道的，script 標(biāo)簽是用來(lái)指定在網(wǎng)頁(yè)上執(zhí)行哪個(gè) JavaScript 的。Script 標(biāo)簽可以直接包含 JavaScript 代碼，或者指向一個(gè) JavaScript 外鏈 URL。

 1 

Script 標(biāo)簽按照它們出現(xiàn)的順序被執(zhí)行

下面的代碼很直觀地說(shuō)明了這一點(diǎn)：

<... script>

  var x = 3;

<... /script>

<... script>

  alert(x);

  // Will alert "3";

<... /script>

使用外鏈資源時(shí)加載次序沒(méi)有那么直觀，但依然是成立的：

<... script src="http://typekit.com/fj3j1j2.js" data-ke-src="http://typekit.com/fj3j1j2.js"><... /script>

<... !-- This second script won’t execute until typekit has executed, or timed out -->

<... script src="http://my.site/script.js" data-ke-src="http://my.site/script.js"><... /script>

如果你混合使用外鏈和內(nèi)聯(lián)的 JavaScript，這個(gè)規(guī)則同樣適用。

這意味著如果你的網(wǎng)站有很慢的腳本在頁(yè)面較前部分被加載，你的網(wǎng)頁(yè)加載就會(huì)被顯著拖慢。這也意味著后加載的腳本可以依賴先加載的腳本。

頁(yè)面元素在它之前的所有腳本都加載完畢之前是不會(huì)執(zhí)行渲染的。這意味著你可以你可以在頁(yè)面加載之前在網(wǎng)頁(yè)上做各種瘋狂的事情，當(dāng)然前提是你不在意因此而造成的性能問(wèn)題。

然而這個(gè)規(guī)則不適用于你在網(wǎng)頁(yè)加載完成之后通過(guò) document.appendChild 之類的方法添加 script 標(biāo)簽到 DOM 中。這些標(biāo)簽會(huì)根據(jù)瀏覽器請(qǐng)求處理完成的先后執(zhí)行腳本，不再保證加載順序。

 2  

當(dāng)一個(gè) script 標(biāo)簽被執(zhí)行，在它之前的 HTML 元素可以訪問(wèn)（但是在它之后的還不能用）

<... html>

  <... head>

    <... script>

      // document.head is available

      // document.body is not!

    <... /script>

  <... /head>

  <... body>

    <... script>

      // document.head is available

      // document.body is available

    <... /script>

  <... /body>

<... /html>

你可以想象 HTML 解析器一個(gè)標(biāo)簽一個(gè)標(biāo)簽地訪問(wèn)文檔，當(dāng)它解析到 script 標(biāo)簽時(shí)，馬上執(zhí)行其中的 JavaScript。這意味著只有當(dāng)開始標(biāo)簽出現(xiàn)在當(dāng)前腳本之前的 DOM 節(jié)點(diǎn)才可以在當(dāng)前 JavaScript 中被訪問(wèn)（通過(guò) querySelectorALl，jQuery 等等）。

一個(gè)有用的推論是 document.head 在任何寫在網(wǎng)頁(yè)上的 JavaScript 幾乎總是可用。document.body 只有當(dāng)你將 script 標(biāo)簽寫在 <... body> 標(biāo)簽中或者它之后的時(shí)候才可用。

 3  

async 和 defer

HTML5 添加了兩個(gè)工具來(lái)控制腳本的執(zhí)行。

o    async 表示“不用馬上執(zhí)行它”。更具體地它表示：我不介意你在整個(gè)網(wǎng)頁(yè)加載完成之后執(zhí)行這個(gè)腳本，把它放在其他腳本執(zhí)行之后。這對(duì)于統(tǒng)計(jì)分析腳本來(lái)說(shuō)非常有用，因?yàn)轫?yè)面上沒(méi)有其他的代碼需要依賴于統(tǒng)計(jì)腳本執(zhí)行。定義一個(gè)頁(yè)面需要的變量或函數(shù)在 async 的代碼中是不行的，因?yàn)槟銢](méi)有方法知道什么時(shí)候 async 代碼將會(huì)被實(shí)際執(zhí)行。

o    defer 表示“等待頁(yè)面解析完成之后執(zhí)行”。它大致等價(jià)于將你的腳本綁定到 DOMContentedLoaded 事件，或者使用 jQuery.ready。當(dāng)這個(gè)代碼被執(zhí)行，DOM 中的一切元素都可用。不同于 async，所有加了 defer 的腳本將會(huì)按照它們出現(xiàn)在 HTML 頁(yè)面中的順序執(zhí)行，它只是推遲到 HTML 頁(yè)面解析完畢后開始執(zhí)行。

 4  

type 屬性

從歷史上看（自 Netsacpe 2 誕生起），在 script 標(biāo)簽上是否寫上 type=text/javascript 沒(méi)有什么關(guān)系。如果你通過(guò) type 設(shè)置一個(gè)非 JavaScript 的 MIME 類型，瀏覽器不會(huì)執(zhí)行它。當(dāng)你想要定義你自己的語(yǔ)言時(shí)，這會(huì)很酷：

<... script type="text/emerald">

  make a social network

    but for cats

<... /script>

這段代碼實(shí)際執(zhí)行結(jié)果由你自己決定，例如：

<... script>

  var codez = document.querySelectorAll("script[type="text/emerald"]");

  for (var i=0; i <...  codez.length; i++)

    runEmeraldCode(codez[i].innerHTML);

<... /script>

定義 runEmeraldCode 函數(shù)留給你們作為練習(xí)。

如果你有特別的需要，你也可以重寫頁(yè)面上 script 標(biāo)簽的默認(rèn) type，方法是通過(guò)一個(gè) meta 標(biāo)簽：

<... meta http-equiv="Content-Script-Type" content="text/vbscript">

或者一個(gè)請(qǐng)求返回一個(gè) Content-Script-Type header。

可以讀一下 Web 上奇怪的腳本語(yǔ)言的一個(gè)簡(jiǎn)短歷史這篇文章有關(guān)于 type 用法的更詳細(xì)信息。

 5  

用 integrity 屬性？

integrity 屬性是子資源完整性新規(guī)范的一部分。它允許你為腳本文件將包含的內(nèi)容內(nèi)容提供一個(gè) hash。這意味著可以防止在傳輸?shù)臅r(shí)候內(nèi)容丟失或者被惡意修改。就算使用了 SSL，這個(gè)規(guī)范也是有意義的，因?yàn)橛袝r(shí)候你要加載的資源是你無(wú)法控制的站外資源，比如 code.jquery.com。

如果你選擇使用它，你要在 script 標(biāo)簽里包含一個(gè) hash 類型以及 hash 值，將它們以連字符隔開。看起來(lái)類似下面這樣：

<... script

  src="http://code.jquery.com/jquery.js"

  integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxy9rx7HNQlGYl1kPzQho1wx4JwY8wC">

<... /script>

我還沒(méi)有看到有人用了它，然而如果你知道有哪個(gè)網(wǎng)站用了，可以在下面評(píng)論。

 6  

還可以用 crossorigin！

雖然還沒(méi)有完全被標(biāo)準(zhǔn)化，但是一些瀏覽器支持 crossorigin 屬性。基本的想法是，瀏覽器會(huì)限制對(duì)非同源資源的使用（同源資源是指相同的協(xié)議、hostname 以及端口，例如： `http://google.com:80）。

這是為了防止你，例如，向你的競(jìng)爭(zhēng)對(duì)手網(wǎng)站發(fā)請(qǐng)求，注銷你的用戶在對(duì)方網(wǎng)站的賬號(hào)（這不好！）。這個(gè)問(wèn)題牽扯到 script 標(biāo)簽雖然有點(diǎn)意外，但如果實(shí)現(xiàn)了 crossorigin，你只要加一個(gè) handler 到 window.onerror 事件上，就能在看控制臺(tái)上看到一些警告信息，提示你引入了一個(gè)不該引入的外站腳本。在安全的瀏覽器下，除非你指定 crossorigin 屬性，不然加載外站腳本不會(huì)出錯(cuò)。

crossorgin 不是一個(gè)神奇的安全手段，它所做的只是讓瀏覽器啟用正常的 CORS 訪問(wèn)檢查，發(fā)起一個(gè) OPTIONS 請(qǐng)求并檢查 Access-Control header。

document.currentScript

IE 不支持的一個(gè)新奇的東西是個(gè)叫做 document.currentScript 的屬性。它指向當(dāng)前正在被執(zhí)行的腳本。如果你想要從你嵌入的 script 標(biāo)簽中拿一些屬性來(lái)用，它會(huì)非常有用。我個(gè)人非常高興它還沒(méi)有被完全支持，否則它會(huì)讓我們?cè)谝徊糠止ぷ髦锌释�嵌入更�?fù)雜的代碼。

onafterscriptexecute?!

這個(gè)超沒(méi)用，因?yàn)樗�只�?/span> Firefox 支持。使用 onbeforescriptexecute 能讓你綁定事件到每一個(gè)腳本的執(zhí)行前和執(zhí)行后，這很酷。

如果你對(duì)這個(gè)感到好奇，你可以研究下。event 對(duì)象包含一個(gè)被執(zhí)行的腳本的引用，而 before 事件能通過(guò) perventDefault() 取消腳本的執(zhí)行。

for / event

到今天， HTML5 規(guī)范包含了一個(gè)很少見(jiàn)的，以前是 IE 特殊的方法來(lái)綁一段代碼到一個(gè)事件。你應(yīng)該能向下面這樣讓一段代碼不被執(zhí)行直到頁(yè)面加載完成：

<... script for="window" event="onload">

  alert("Hi!")

<... /script>

這段代碼在 Chrome 或者 Firefox 下不能實(shí)際工作，但是它依然能夠在 IE 下工作。

NOSCRIPT

如同你父母一樣，很難相信 JavaScript 也曾經(jīng)年少過(guò)。曾經(jīng)有過(guò)這樣一段時(shí)間你不能確定是否一個(gè)瀏覽器支持 JavaScript。更糟的是，你甚至不能確定那個(gè)瀏覽器能識(shí)別 script 標(biāo)簽。而如果一個(gè)瀏覽器不能識(shí)別標(biāo)簽，它應(yīng)該會(huì)將它渲染成一個(gè) inline 元素，意味著你所有 JavaScript 代碼會(huì)被作為文本渲染在頁(yè)面上！

幸運(yùn)地是，規(guī)范已經(jīng)能足夠有效地避免這個(gè)情況發(fā)生，你只需要將你的代碼包在 HTML 注釋里，那些不支持腳本的瀏覽器會(huì)把下面的文本當(dāng)做注釋：

<... script>

<... !--  to hide script contents from old browsers

  // You would probably be pasting a ‘rollover’ script

  // you got from hotscripts.net here

// end hiding contents from old browsers  -->

<... /script>

當(dāng)然，像很多事情一樣，XHTML將這變得更糟。XML用特殊的方法來(lái)轉(zhuǎn)義可能包含結(jié)束標(biāo)簽的內(nèi)容，這是 CDATA 的來(lái)歷：

<... script>

//<... ![CDATA[

    // Is this the right incantation to get this to pass

    // the XHTML validator?

//]]>

<... /script>

像上面這樣寫，你的代碼可以是一個(gè)規(guī)范的 XHTML。它對(duì)實(shí)際功能沒(méi)有什么影響，但是它對(duì)你作為一個(gè) Web 開發(fā)者的榮譽(yù)也許很重要（現(xiàn)在這個(gè)時(shí)代，誰(shuí)還用 XHTML 啊——譯者注）。

瀏覽器也包含一個(gè)有用的方法來(lái)讓你把那些不支持 JavaScript 人趕走，通過(guò) noscript 標(biāo)簽。<... noscript> 標(biāo)簽里的內(nèi)容只有瀏覽器不支持腳本的時(shí)候才會(huì)被渲染出來(lái)：

<... noscript>

  Please use Internet Explorer 5.5 or above.

<... /noscript>

<... script>

  exploitInternetExplorer0Day();

<... /script>

如果你有敏銳的觀察力，你會(huì)意識(shí)到 noscript 不接受 type 參數(shù)，這使得那些使用別的 type 類型的腳本的頁(yè)面上如果出現(xiàn) noscript 會(huì)顯得有點(diǎn)歧義。noscript 實(shí)際行為在各個(gè)瀏覽器下有所不同。

Script 標(biāo)簽和 innerHTML

通過(guò) DOM 動(dòng)態(tài)添加到頁(yè)面上的 script 標(biāo)簽會(huì)被瀏覽器執(zhí)行：

var myScript = document.createElement("script");

myScript.textContent = "alert("✋")";

document.head.appendChild(myScript);

通過(guò) innerHTML 動(dòng)態(tài)添加到頁(yè)面上的 script 標(biāo)簽則不會(huì)被執(zhí)行：

document.head.innerHTML += "<... script>alert("✋")<... /script>";

為什么會(huì)是這樣的原因不是很確定，但是它解決了一個(gè)小問(wèn)題：“是否有一個(gè)辦法讓一個(gè) script 標(biāo)簽在 Chrome 代碼檢查器中顯示但不實(shí)際執(zhí)行？”你可以利用這個(gè)來(lái)對(duì)你的同事做惡作劇。

 

備注：【使用時(shí)請(qǐng)把代碼里面所有的 ... 刪除掉，防止顯示不了】

上一篇：Cookie與Session的區(qū)別

下一篇：如何實(shí)現(xiàn)全站Https的，及安裝配置SSL證書全過(guò)程