Node.js 是一款开源和跨平台的 JavaScript 运行环境,支持在 Windows、Linux、macOS 等系统上运行,得益于跨平台可以减少开发者的工作量,因此各位使用的不少软件可能都包含 Node.js。
日前 Node.js 推出了 v20.18.0 LTS 长期支持版,这类 LTS 版通常提供 30 个月的关键错误修复,也就是后续将提供安全更新及时修复各类漏洞。
对开发者来说使用 LTS 版的好处在于不用频繁升级,毕竟每次升级版本可能都需要检查 JavaScript 兼容性,因此使用 LTS 版至少可以在短期内不用担心升级以及安全问题。
此次更新的正式功能之一是 tls.createSecureContext API 新增的 allowPartialTrustChain 选项,该选项使开发者能够将信任的 CA 清单中的中继凭证视为可信,即便这些凭证不是自签名(Non-Self-Signed)。
这项变更对于信任链的处理至关重要,因为在某些情况下,开发者可能无法获得完整的信任链,通过设置 allowPartialTrustChain 为 true,开发者可以接受部分信任的中继凭证,这样可以在不同的环境中更灵活地建立安全连接,增强了应用程序的可靠性。
此外,vm.createContext () 方法也得到了增强,新增了可冻结全局对象的选项。该选项允许开发者创建一个没有拦截器的全局对象,并进一步将其冻结。
拦截器是一种监控和控制全局对象操作的机制,旨在防止第三方代码对全局对象的未授权修改。新的选项则取消了这种监控,直接冻结全局对象,确保其不可变性,从而提高安全性。同时,这一改进还加快了全局对象的访问速度,特别适合那些不需要拦截器行为的应用场景,为开发者提供了更多的灵活选择。
在实验性功能方面,Node.js v20.18.0 新增了网络检查工具,开发者可以通过使用 –experimental-network-inspection 标志来监控应用程序中的网络活动。这一功能目前仅支持 http 和 https 模块,并且仍在持续开发中。尽管当前功能仅能在 Node.js 自身环境中使用,未来有望与 Chrome DevTools 的网络标签结合,为开发者提供更直观的网络活动监控。
(声明:本文由 AI 撰写或调整)
