核心是验证外部输入并设置默认值以增强健壮性。需检查类型、结构,清理数据,如用typeof、trim()、isNaN()等处理用户输入,确保程序稳定运行。
编写防御性 JavaScript 代码的核心在于假设任何外部输入都可能是错误的、不完整的,甚至是恶意的。通过提前验证、合理默认值和错误处理,可以显著提升程序的健壮性。
验证和清理输入数据
在使用任何来自用户、API 或 URL 的数据之前,先进行类型和结构检查。
• 使用 typeof 或 Array.isArray() 判断基本类型• 对象输入可用 in 操作符或 hasOwnProperty 确认关键字段存在
• 字符串输入注意 trim() 去除空格,防止误判
• 数值输入用 Number() 转换后检查是否为 NaN
例如:
function processUser(user) {
if (!user || typeof user !== 'object') return null;
if (typeof user.name !== 'string' || !user.name.trim()) return null;
const age = Number(user.age);
if (isNaN(age) || age < 0) return null;
// 安全处理后续逻辑
}
设置合理的默认值
利用函数参数默认值或逻辑运算符避免 undefined 引发的问题。
立即学习“Java免费学习笔记(深入)”;
• 函数参数设置默认对象 {} 防止属性访问报错• 使用 ?? 操作符处理 null/undefined,优先于 ||
• 解构时提供默认值,如 { name = '匿名' } = user
示例:
function greet({ name = '访客' } = {}) {
return `你好,${name}!`;
}
使用 try-catch 处理潜在异常
对可能出错的操作(如 JSON 解析、DOM 查询)包裹 try-catch。
• JSON.parse() 必须放在 try 中,非法字符串会抛错• 访问深层嵌套属性前判断路径是否存在,或用可选链 ?.
• 异步操作结合 try-catch 和 reject 处理
比如:
function parseData(str) {
try {
return JSON.parse(str);
} catch (e) {
console.warn('无效的 JSON 字符串');
return null;
}
}
限制函数输入范围与类型
明确函数能接受什么,拒绝意外输入。
• 对数字参数设定上下界(如 Math.max(0, input))• 字符串长度或格式校验(正则匹配邮箱、手机号等)
• 使用 assertive 风格早期退出(guard clauses)
写法建议:
function setTimer(delay) {
const safeDelay = Math.max(0, Number(delay));
if (isNaN(safeDelay)) return;
setTimeout(() => {}, safeDelay);
}
基本上就这些。关键是保持警惕,不信任任何外部输入,用简单清晰的方式过滤、转换和保护你的逻辑。代码看起来啰嗦一点,但运行更稳。
