Membina aplikasi Gedung Windows menggunakan jQuery 2.0

Dengan keluaran Windows 8, Microsoft memperkenalkan aplikasi Gedung Windows yang boleh ditulis menggunakan bahasa web tradisional dan memanfaatkan enjin asas yang menggerakkan Internet Explorer 10. Ini bermakna jQuery 2.0 direka bentuk untuk berjalan terbaik dalam penyemak imbas moden dan merupakan apl Gedung Windows yang sesuai untuk digunakan di rumah!

---

Fahami konteksnya

Apl Gedung Windows berbeza daripada web dan mempunyai dua konteks berbeza, tempatan dan web. Oleh kerana kod dalam konteks setempat boleh mengakses Windows Runtime API, model keselamatan baharu diperlukan.

Untuk hasil terbaik, anda akan memuat turun jQuery dan memuatkannya ke dalam konteks setempat. Percubaan untuk memuatkan dari lokasi terpencil (seperti CDN) akan menghasilkan mesej yang serupa dengan "Aplikasi tidak boleh memuatkan kandungan web jauh dalam konteks setempat."

---

Memahami kod "tidak selamat"

Manipulasi DOM ialah salah satu perubahan terbesar yang anda hadapi apabila menggunakan jQuery dalam apl Gedung Windows berbanding penyemak imbas.

Di web, adalah perkara biasa untuk menambah elemen pada borang dengan menghantar rentetan HTML ke kaedah .append() jQuery: .append() 方法来向表单添加元素的情况并不罕见：

$("#form").append("<input name='foo' value='bar' />");

在可以轻松访问用户计算机的 Windows 应用商店应用程序中，风险要高得多，并且您可能习惯做的很多事情都需要重新考虑。由于 name 属性，上述内容被认为是不安全的。还有许多其他元素、属性、协议等被认为是不安全的。

有关安全和不安全的详细列表，请参阅使 HTML 更安全：toStaticHTML 的详细信息。

这并不意味着您不能以编程方式用动态项目填充容器；而是意味着您不能以编程方式将动态项目填充到容器中。你只需要采取稍微不同的方法。例如，您可以使用 jQuery 创建输入元素本身，而不是在字符串中传递它：

$("<input>", { name: "foo", value: "bar" }).appendTo("#form");

在上面的示例中，您使用 jQuery 的 html、属性签名创建一个输入元素。这向安全模型表明您可以完全控制该元素、它的属性及其相应的值。这种模式在浏览器中也同样有效，从 1.4 版开始就出现在 jQuery 中。

---

清理潜在不安全的内容

从远程端点接收内容时，明智的做法是在将其放入 DOM 之前对其进行清理。您可以通过多种方式使用辅助函数来执行此操作，例如 toStaticHTML，它可以从字符串中删除所有动态项。

假设您希望从远程服务请求一串标记，其中包括对当前用户的问候语。该服务完全有可能被篡改，并且实际返回到我们的应用程序的内容比您预期的要多。

在下面的代码中，您会看到隐藏的表单字段已将其自身附加到响应中。

<h1>Hello, Dave.</h1><input name='id' value='a528af' type='hidden' />

将其注入到表单中可能会造成灾难性的后果。因此，您应该首先通过 toStaticHTML 传递它，以清除可用于操作表单数据或执行其他未经批准的操作的任何元素、属性或值。

$("#greeting").html(toStaticHTML(response));

当该方法看到我们的输入元素标记时，它将识别并删除动态 name 属性，从而防止任何意外数据进入表单提交。要更详细地了解 toStaticHTML 方法中哪些内容可以保留，哪些内容不能保留，请查看使 HTML 更安全：toStaticHTML 的详细信息。

---

当你最了解时

有时您不可避免地需要做一些看似不安全的事情。例如，您可能希望使用一段 HTML 作为模板来构建新元素。在这些情况下，Microsoft 提供了一些方法，您可以在必要时使用，并且当您确信自己所做的事情不会使用户面临风险时使用。

在 Windows 应用商店应用程序中的全局 MSApp 对象上，存在 execUnsafeLocalFunction 函数，并且它的作用与它所建议的完全一样：允许您根据具体情况执行不安全的函数。也许您希望添加一个输入字段来编辑用户名，我们的代码可能看起来与上一个示例非常相似：

<h1>Hello, <input name="id" value="Dave" /><h1>

我们可以通过匿名函数将其分配给 innerHTML 属性：

MSApp.execUnsafeLocalFunction(function () {
    $("#greeting").html(response);
});

在该功能的范围内，您可以跳出安全模型并执行其他不安全的操作，而不会受到环境的二次猜测。为什么应该谨慎使用此方法应该是相当明显的。

Windows 应用商店应用程序中的 WinJS.Utilities 下也存在一些实用方法，用于执行类似的任务。它们是 setInnerHTMLUnsafe 和 setOuterHTMLUnsafe。与 execUnsafeLocalFunction

WinJS.Utilities.setInnerHTMLUnsafe( $("#greeting").get(0), response );
WinJS.Utilities.setOuterHTMLUnsafe( $("#greeting").get(0), response );

Dalam apl Gedung Windows yang mempunyai akses mudah kepada komputer pengguna, pertaruhannya jauh lebih tinggi dan banyak perkara yang mungkin biasa anda lakukan perlu difikirkan semula. Perkara di atas dianggap tidak selamat kerana atribut name. Terdapat banyak lagi elemen, atribut, protokol dan lain-lain yang dianggap tidak selamat. 🎜

🎜Untuk senarai terperinci tentang perkara yang selamat dan yang tidak, lihat Menjadikan HTML Lebih Selamat: toStaticHTML untuk mendapatkan butiran. 🎜

🎜Ini tidak bermakna anda tidak boleh mengisi kontena secara pemrograman dengan item dinamik; ini bermakna anda tidak boleh mengisi item dinamik secara pemrograman ke dalam bekas. Anda hanya perlu mengambil pendekatan yang sedikit berbeza. Sebagai contoh, anda boleh menggunakan jQuery untuk mencipta elemen input itu sendiri dan bukannya menghantarnya dalam rentetan: 🎜

var $greeting = $("#greeting");

if (typeof WinJS !== "undefined" && WinJS.Utilities) {
    WinJS.Utilities.setInnerHTMLUnsafe($greeting.get(0), response);
} else {
    $greeting.html(response);
}

🎜Dalam contoh di atas, anda mencipta elemen input menggunakan html jQuery, tandatangan atribut. Ini menunjukkan kepada model keselamatan bahawa anda mempunyai kawalan penuh ke atas elemen, atributnya dan nilai yang sepadan. Corak ini juga berfungsi dalam pelayar dan telah hadir dalam jQuery sejak versi 1.4. 🎜 🎜 🎜Bersihkan kandungan yang berpotensi tidak selamat🎜 🎜Apabila menerima kandungan dari titik akhir yang jauh, adalah bijak untuk membersihkannya sebelum meletakkannya ke dalam DOM. Anda boleh melakukan ini dalam beberapa cara menggunakan fungsi pembantu, seperti toStaticHTML, yang mengalih keluar semua item dinamik daripada rentetan. 🎜 🎜Andaikan anda ingin meminta rentetan token daripada perkhidmatan jauh yang termasuk ucapan untuk pengguna semasa. Ada kemungkinan bahawa perkhidmatan itu boleh diganggu dan sebenarnya mengembalikan lebih banyak kandungan kepada aplikasi kami daripada yang anda jangkakan. 🎜 🎜Dalam kod di bawah anda akan melihat bahawa medan borang tersembunyi telah dilampirkan sendiri pada respons. 🎜

$.ajax("http://api.twitter.com/1/statuses/user_timeline.json", {
    data: { screen_name: "appendTo" },
    success: function (data) {
        $("<img>", { src: data[0].user.profile\_image\_url }).appendTo("body");
        $.each(data, function (key, tweet) {
            $("<p>").text(tweet.text).appendTo("body");
        });
    }
});

🎜Menyuntik ini ke dalam bentuk boleh membawa akibat yang buruk. Oleh itu, anda harus terlebih dahulu menghantarnya melalui toStaticHTML untuk mengosongkan sebarang elemen, atribut atau nilai yang boleh digunakan untuk memanipulasi data borang atau melakukan tindakan lain yang tidak diluluskan. 🎜 rrreee 🎜Apabila kaedah melihat teg elemen input kami, ia akan mengenal pasti dan mengalih keluar atribut nama dinamik, menghalang sebarang data yang tidak dijangka daripada memasuki penyerahan borang. Untuk mengetahui lebih lanjut tentang perkara yang boleh dan tidak boleh disimpan dalam kaedah toStaticHTML, lihat Menjadikan HTML Lebih Selamat: toStaticHTML secara terperinci. 🎜 🎜 🎜Apabila anda tahu yang terbaik🎜 🎜Kadangkala anda pasti perlu melakukan sesuatu yang mungkin kelihatan tidak selamat. Sebagai contoh, anda mungkin mahu menggunakan sekeping HTML sebagai templat untuk membina elemen baharu. Dalam situasi ini, Microsoft menyediakan kaedah yang boleh anda gunakan apabila perlu dan apabila anda yakin bahawa apa yang anda lakukan tidak membahayakan pengguna. 🎜 🎜Pada objek MSApp global dalam apl Gedung Windows, fungsi execUnsafeLocalFunction wujud dan melakukan apa yang dicadangkan: membolehkan anda melakukannya mengikut kes demi kes Fungsi yang tidak selamat. Mungkin anda ingin menambah medan input untuk mengedit nama pengguna, kod kami mungkin kelihatan sangat serupa dengan contoh sebelumnya: 🎜 rrreee 🎜Kami boleh menetapkannya pada atribut innerHTML melalui fungsi tanpa nama: 🎜 rrreee 🎜Dalam skop ciri ini, anda boleh melangkah keluar dari model selamat dan melakukan operasi lain yang tidak selamat tanpa diduga oleh persekitaran. Ia sepatutnya agak jelas mengapa kaedah ini harus digunakan dengan berhati-hati. 🎜 🎜Terdapat juga beberapa kaedah utiliti di bawah WinJS.Utilities dalam apl Gedung Windows untuk melaksanakan tugas yang serupa. Ia adalah setInnerHTMLUnsafe dan setOuterHTMLUnsafe. Seperti execUnsafeLocalFunction, ini harus digunakan dengan berhati-hati dan apabila anda tidak mahu mengambil risiko menggunakan data yang di luar kawalan anda. 🎜

这些实用函数将您想要操作的 DOM 元素以及您想要分配的字符串作为参数。

WinJS.Utilities.setInnerHTMLUnsafe( $("#greeting").get(0), response );
WinJS.Utilities.setOuterHTMLUnsafe( $("#greeting").get(0), response );

这里的区别在于 setInner 替换了元素的 innerHTML ，而 setOuter 替换了元素本身 - 想想 jQuery 的 replaceWith 方法。对于这两个函数，您只需传入对 DOM 元素和我们所需的 innerHTML 的引用即可。

---

兼容性说明

在上一节中，您介绍了两个对象，即包含 execUnsafeLocalFunction 函数的 MSApp 对象，以及包含两个实用函数 setInnerHTMLUnsafe 和 setOuterHTMLUnsafe 的 WinJS 对象。

这些对象仅存在于 Windows 应用商店应用程序中，而不存在于您的浏览器中（除非某人或某物创建了类似名称的对象）。如果您希望编写既可以在 Windows 应用商店环境又可以在浏览器中运行的代码，则需要先检查这些对象，然后再推测它们的存在。

var $greeting = $("#greeting");

if (typeof WinJS !== "undefined" && WinJS.Utilities) {
    WinJS.Utilities.setInnerHTMLUnsafe($greeting.get(0), response);
} else {
    $greeting.html(response);
}

在 Windows 应用商店应用程序中，上述代码将使用 WinJS.Utilities 方法来执行分配。当在 WinJS 未知的环境中运行时，例如在 Web 浏览器中，代码将通过 jQuery 的 .html 方法执行分配。

---

不再有同源问题

利用远程服务的能力是网络变得伟大的一部分。在传统浏览器中，您会遇到起源问题，这导致了 JSONP 等解决方案的出现，并最终出现了 CORS。由于 Windows 应用商店应用程序在操作系统上运行，因此来源无关紧要。

$.ajax("http://api.twitter.com/1/statuses/user_timeline.json", {
    data: { screen_name: "appendTo" },
    success: function (data) {
        $("<img>", { src: data[0].user.profile\_image\_url }).appendTo("body");
        $.each(data, function (key, tweet) {
            $("<p>").text(tweet.text).appendTo("body");
        });
    }
});

上面的内容从 @appendTo 帐户获取所有最新推文，并将每条推文包装在自己的段落标记中，并将个人资料图像放在它们上方。在 Windows 应用商店应用程序中，无需使用 script 标记、设置标头或通过服务器端脚本进行代理即可实现此目的。

---

结论

虽然本文并不详尽，但它确实提供了您在 Windows 应用商店应用程序中快速启动并运行 jQuery 所需的初始动力。玩得开心！

Atas ialah kandungan terperinci Membina aplikasi Gedung Windows menggunakan jQuery 2.0. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!