Express.新功能和更新

Express.js 5.0.0 发布：稳定性和安全性增强

备受青睐的 Node.js Web 应用框架 Express.js，一直是开发者关注的焦点。近日，Express.js 团队正式发布了 5.0.0 版本。自 2014 年首个主要版本发布以来，十年光阴转瞬即逝。在这十年间，Express.js 经历了无数次的迭代和优化，而 5.0.0 版本则带来了诸多新特性和改进，为开发者带来焕然一新的体验。

一、版本发布概述

Express.js 5.0.0 版本的发布，核心目标在于稳定性和安全性。它旨在帮助开发者构建更健壮的 Node.js 应用，并为现代 Web 开发提供更坚实的基础。在当今技术快速发展的环境中，应用的稳定性和安全性直接关系到用户体验和数据安全，因此 Express.js 团队的这一举动尤为重要。

二、Node.js 版本支持变化

Express 5 果断放弃了对旧版 Node.js 的支持。根据发布说明，该版本不再支持 Node.js v18 之前的版本。这一改变看似简单，却影响深远。对旧版 Node.js 的支持，在一定程度上限制了 Express.js 在性能和可维护性方面的重大改进。例如，旧版 Node.js 可能存在一些性能瓶颈，无法充分利用新的硬件特性和优化算法，导致 Express 应用在高并发场景下的性能低下。放弃对旧版本的支持，不仅使持续集成 (CI) 更稳定、更易于维护，而且使 Express.js 能更好地拥抱新语言和新运行时的特性，同时摆脱不必要的依赖，从而减轻负担，提升整体性能。

三、安全相关改进

(一) 路径路由匹配修改

经过全面的安全审计，Express.js 团队对路径路由匹配机制进行了关键性修改。为有效防御正则表达式拒绝服务 (ReDoS) 攻击，Express 5 不再支持正则表达式中的子表达式，例如 /:foo(d )。在 Express 4 中，我们可以使用类似 app.get('/:id(d )', (req, res) => res.send(ID: ${req.params.id})); 的代码来匹配特定格式的路径参数。但在 Express 5 中，这种方式不再允许。Express.JS 技术委员会成员 Blake Embrey 提供了一个正则表达式示例（例如 ^/flights/([^/] ?)-([^/] ?)/?$），当用 /flights/ '-'.repeat(16_000) /x 来匹配时，实际耗时 300 毫秒，而正常情况下应该少于 1 毫秒。如此巨大的时间差异充分体现了正则表达式在特定情况下潜在的性能风险，这也是 Express 5 进行改进的重要原因。为确保应用安全，Express 团队建议开发者使用功能强大的输入验证库，例如 joi，来严格验证输入数据，从源头上预防恶意攻击。

(二) 正则表达式通配符要求

Express 5 也对正则表达式中的通配符提出了明确的要求。通配符必须显式命名或替换为 (.*)。这提高了路由匹配的清晰度和可预测性。例如，Express 5 中类似 /foo 的路径必须更新为 /foo(.*)。这样，在进行路由匹配时，开发者可以更清晰地理解匹配规则，避免因规则不明确而导致的潜在问题。

(三) 路由中可选参数语法的变化

在路由中，可选参数的语法也发生了显着变化。在 Express 4 中，使用 :name? 来表示可选参数，例如 app.get('/user/:id?', (req, res) => res.send(req.params.id || 'No ID'));。在 Express 5 中，语法变为 {/:name}，相应的代码示例为 app.get('/user{/:id}', (req, res) => res.send(req.params.id || 'No ID'));。虽然这种语法变化需要开发者进行一些代码调整，但它使路由规则更直观易懂。

(四) 访问正则捕获组参数的变化

在正则捕获组中，不再允许通过索引访问未命名的参数。现在，参数必须命名。在 Express 4 中，我们可以使用类似 app.get('/user(s?)', (req, res) => res.send(req.params[0])); 的代码来获取捕获组中的参数，这里它返回 's'。但在 Express 5 中，需要命名参数，例如 app.get('/user:plural?', (req, res) => res.send(req.params.plural));。这种方式可以避免因索引混淆而导致的错误，提高代码的可读性和可维护性。

(五) HTTP 状态码有效性检查

Express 5 强制执行 HTTP 状态码的有效性检查。这是防止静默失败、避免开发者陷入困难的调试过程中的重要防御机制。在 Express 4 中，使用类似 res.status(978).send('Invalid status'); 的代码，虽然设置了无效的状态码 978，但它不会报错，而是静默失败，这给开发者排查问题带来很大困难。在 Express 5 中，相同的代码会直接抛出错误，提醒开发者及时发现并纠正问题，大大提高了开发效率和应用稳定性。

四、异步中间件和路由中错误处理的改进

Express.js 5 使异步中间件和路由中的错误处理更加简洁高效。它改进了异步中间件和路由中的错误处理机制，可以自动将被拒绝的 Promise 传递给错误处理中间件。开发者不再需要手动使用 try/catch 块。在 Express 4 中，处理异步请求时，代码可能如下所示：

<code class="language-javascript">app.get('/data', async (req, res, next) => {
    try {
        const result = await fetchData();
        res.send(result);
    } catch (err) {
        next(err);
    }
});</code>

而在 Express 5 中，代码可以简化为：

<code class="language-javascript">app.get('/data', async (req, res) => {
    const result = await fetchData();
    res.send(result);
});</code>

这种改进不仅减少了代码量，而且使代码结构更清晰，降低了出错的概率。

五、升级建议

尽管 Express 团队尽力将重大更改最小化，但希望将 Express 代码升级到新版本的开发者仍然需要万分谨慎。在升级过程中，可能会遇到各种兼容性问题，例如上面提到的语法更改和 Node.js 版本要求。因此，开发者必须仔细阅读在线迁移指南，并按照指南中的步骤逐步升级，以确保应用平稳过渡。

作为 OpenJS 基金会（At-Large 类别）的重要项目，Express.js 一直以来都为 Node.js 开发者提供强有力的支持。开发者可以阅读完整的发布说明，深入了解更多技术细节和示例，从而更好地利用 Express.js 5.0.0 的新特性，构建更好的 Node.js 应用。相信在 Express.js 5.0.0 的帮助下，Node.js 应用开发将达到一个新的高度。

Leapcell：最佳无服务器 Web 托管平台

最后，我想介绍一个最适合部署 Express 应用的平台：Leapcell

1. 多语言支持

   • 使用 JavaScript、Python、Go 或 Rust 进行开发。

2. 免费部署无限项目

   • 只需为使用付费——无请求，无费用。

3. 无与伦比的成本效益

   • 按需付费，无空闲费用。
   • 例如：25 美元支持 694 万次请求，平均响应时间为 60 毫秒。

4. 简化的开发者体验

   • 直观的 UI，轻松设置。
   • 全自动 CI/CD 管道和 GitOps 集成。
   • 实时指标和日志记录，提供可操作的见解。

5. 轻松扩展和高性能

   • 自动扩展以轻松处理高并发。
   • 零运营开销——只需专注于构建。

在文档中了解更多信息！

Leapcell Twitter：https://www.php.cn/link/7884effb9452a6d7a7a79499ef854afd

以上是Express.新功能和更新的详细内容。更多信息请关注PHP中文网其他相关文章！