面试题手册

把现有应用迁移到 Module Federation，最忌讳一上来就按团队边界大拆。更稳的路线是先让老应用作为 Shell 保持不动，再把低风险页面、公共组件或独立业务域拆成 remote，等发布、监控、回滚都跑顺后再扩大范围。迁移的本质不是换插件，而是改变构建、发布和依赖协作方式。迁移前先看哪些条件？先评估三件事：应用是否有清晰的业务边界，依赖版本是否可统一，发布链路是否支持多产物部署。如果当前项目连 React、路由、状态库版本都混乱，直接上联邦只会把问题放大。还要看团队协作方式：Module Federation 适合多个团队独立交付，不适合一个小团队为了“微前端”而强拆。// shell webpack.config.jsnew ModuleFederationPlugin({ name: 'shell', remotes: { user: 'user@https://cdn.example.com/user/remoteEntry.js' }, shared: { react: { singleton: true, requiredVersion: '^18.2.0' }, 'react-dom': { singleton: true, requiredVersion: '^18.2.0' } }})这段配置看起来简单，真正的边界在 shared。版本写得太宽，可能引入未知兼容问题；写得太死，又会让 remote 发布受 Shell 牵制。一般建议框架类依赖单例且收紧版本，工具类依赖按体积和兼容性决定是否共享。迁移策略怎么选？第一种是“壳保留，页面外拆”：老应用继续负责登录、菜单、路由和全局布局，新业务页面逐步变成 remote。这种风险最低，适合后台系统和中大型 ToB 应用。第二种是“组件先行”：先拆设计系统、图表、富文本、上传器这类公共组件。好处是收益快，但要注意样式隔离和 peer dependency，否则公共组件一升级，多个业务同时出问题。第三种是“按业务域拆分”：订单、用户、营销各自独立构建和发布。它最符合微前端理想状态，但要求团队边界、接口契约、监控和回滚都比较成熟。路由和发布怎么兜底？迁移期必须把 remote 加载失败当成常态处理。Shell 不应该因为一个 remoteEntry 404 就白屏，而要展示降级页、错误边界或回退到旧页面。发布时建议 remote 使用不可变版本路径，Shell 读取一份可回滚的 manifest。const RemoteUser = React.lazy(() => import('user/App').catch(() => import('./fallback/UserFallback')))这类兜底不是锦上添花，而是迁移能不能上线的前提。尤其灰度阶段，新旧页面可能同时存在，日志里必须能区分用户命中了哪个 remote 版本。数据、样式和权限要不要一起拆？不要急着一起拆。页面可以先联邦化，但登录态、权限、主题和埋点最好仍由 Shell 统一提供，remote 通过明确的 props、事件或 SDK 获取上下文。否则每个 remote 都复制一套鉴权和埋点，迁移后看似独立，实际排查问题更慢。样式也要提前约定：CSS Modules、Shadow DOM、前缀命名或设计系统变量至少选一种，否则新旧页面并存时很容易互相污染。追问应该先拆公共组件还是业务页面？如果团队第一次做 Module Federation，优先拆低风险业务页面，而不是核心公共组件。业务页面失败时可以路由回退，公共组件失败会影响多个页面，事故半径更大。公共组件适合在共享依赖、样式隔离和版本发布流程稳定后再拆。取舍点是页面拆分收益慢一点，但更容易把迁移风险控制在单个业务域内。迁移时 shared 依赖怎么定？React、ReactDOM、路由和状态管理这类运行时强相关依赖，通常要设 singleton。lodash、dayjs 这类工具库是否共享，要看体积、版本差异和缓存收益，不要为了“少打包一点”制造版本耦合。踩坑最多的是 remote 自己带了一份 React，Shell 也有一份，最后 hooks 报错却很难定位。边界是共享依赖只能解决前端运行时复用，不能替代包管理和版本治理。如何判断迁移已经可以扩大范围？看四个信号：remote 加载失败有降级，发布后能快速回滚，监控能看到加载耗时和错误率，团队知道谁负责哪个 remote。只要其中一个缺失，就不要急着拆核心链路。迁移不是拆得越快越好，而是每拆一块都能独立发布、独立定位、独立恢复。很多项目失败不是技术不通，而是拆完之后没有人对线上 remote 负责。老项目不是 Webpack 还能迁移吗？可以，但要先确认当前构建工具的联邦插件成熟度。Vite、Rspack、Rsbuild 都有方案，但不同插件对 CSS、动态 remote、SSR 和 shared 的支持细节不一样。稳妥做法是先做一个真实业务切片验证，而不是只跑 demo。边界是如果项目强依赖老旧 loader、全局变量和隐式副作用，迁移前要先整理工程结构。

Module Federation 的未来不会只停在 Webpack 插件上，它更像一种前端运行时组合协议：不同团队、不同构建工具、不同发布节奏的应用，可以在浏览器里按需拼装。趋势大致有三条：构建工具解耦、运行时治理增强、跨端与边缘场景扩展。为什么会从 Webpack 走向多构建工具？早期 Module Federation 和 Webpack 绑定很深，remoteEntry、share scope、runtime container 都来自 Webpack 的实现。现在 Vite、Rspack、Rsbuild、Rollup 生态都在补齐联邦能力，核心原因不是“换个打包器更时髦”，而是大型应用需要更快的本地启动、更低的构建成本，以及更容易接入已有工程。// rspack.config.jsconst { ModuleFederationPlugin } = require('@module-federation/enhanced/rspack')module.exports = { plugins: [ new ModuleFederationPlugin({ name: 'shell', remotes: { order: 'order@https://cdn.example.com/order/remoteEntry.js' }, shared: { react: { singleton: true }, 'react-dom': { singleton: true } } }) ]}但这里有边界：多构建工具支持不等于随便混用。团队要先确认 remote 格式、ESM/CJS 输出、CSS 注入、公共依赖版本协商是否一致，否则本地能跑，线上可能在首屏、样式隔离或 chunk 加载上翻车。运行时治理会变得更重要吗？会。未来的重点会从“能不能加载远程模块”转向“能不能稳定、安全、可观测地加载”。大型团队会需要远程模块清单、灰度发布、版本锁定、回滚、SRI 校验、加载耗时监控和依赖冲突报警。尤其是把 remoteEntry 放到 CDN 后，缓存策略、文件不可变命名和清单更新就会影响事故半径。{ "remotes": { "order": { "entry": "https://cdn.example.com/order/1.8.3/remoteEntry.js", "version": "1.8.3", "integrity": "sha384-..." } }}这个方向的取舍很现实：治理越细，平台成本越高；治理太弱，微前端会变成“分布式脚本引用”。比较稳的做法是先管住入口清单和共享依赖，再逐步接入灰度、告警和回滚。边缘计算和 SSR 会怎样影响 Module Federation？SSR、Streaming、Edge Runtime 会让 Module Federation 从浏览器运行时扩展到服务端组合。比如 Shell 在服务端决定加载哪个 remote，先输出骨架，再把局部功能流式返回。好处是首屏更可控，也能按地区、租户、实验策略选择不同模块。踩坑也明显：服务端不能假设所有 remote 都有 window、document；共享依赖要区分 server/client 版本；remote 不可用时必须有降级 UI。否则一次 remote 超时，就可能拖垮整个页面响应。AI 和自动化会真正改变什么？更实际的变化会发生在发布前后。平台可以根据路由访问量、错误率和用户路径，自动给高概率命中的 remote 做 preload，也可以在某个版本错误率升高时把 manifest 切回上一版。这里不要迷信“AI 自动调度”，因为预测错了会浪费带宽，甚至把低端设备的主线程压满。比较可落地的做法是先用规则驱动：高频路由预加载、低频模块懒加载、异常版本自动降级，再把历史数据用于优化阈值。另外，组织层面的演进也不能忽略。Module Federation 越普及，越需要平台团队定义 remote 命名、版本保留周期、灰度比例和事故响应规则。否则技术上已经拆开，协作上仍然靠口头约定，最后会把跨团队发布变成新的瓶颈。追问Module Federation 会被 Vite 或 Rspack 取代吗？不会，二者不是同一层东西。Vite、Rspack 是构建工具，Module Federation 解决的是运行时模块组合和依赖共享。未来更可能出现的是“Webpack 联邦实现”逐渐让位给“跨构建工具联邦协议”。真正要取舍的是团队愿不愿意为更快构建迁移工具链，同时承担插件成熟度和生态差异的风险。远程模块市场靠谱吗？内部模块市场有价值，公开市场要谨慎。企业内部可以把设计系统、结算组件、权限组件做成可搜索、可审计、可版本化的 remote，提高复用效率。边界在于业务组件通常依赖上下文、埋点、权限和主题，脱离原系统后复用成本并不低。踩坑最多的是只发布组件，不发布版本说明、依赖约束和降级策略。共享依赖未来会怎么演进？共享依赖会从简单的 singleton 配置，走向更明确的版本策略和运行时诊断。React 这类框架依赖通常必须单例，否则 hooks、context、路由状态都可能异常。工具层可以自动提示重复实例、版本漂移和 eager 配置不当，但不能替团队决定兼容边界。实际项目里要把共享依赖当成架构契约，而不是随手复制的配置。安全治理需要做到什么程度？至少要做到 remoteEntry 来源可信、版本可追踪、发布可回滚。对外部或跨团队 remote，建议加白名单、SRI、CSP 和发布审批，不要让任意 URL 进入运行时加载链路。取舍是安全校验会增加发布流程和调试成本，但它能避免供应链脚本被替换后全站中招。边界是前端校验不能替代后端权限，remote 里所有敏感接口仍必须走服务端鉴权。

在 React Native 里接入 Lottie，核心不是把组件渲染出来，而是把安装、资源路径、播放控制和性能边界都处理好。很多项目第一次接入能跑，后面却在 Android 缺资源、iOS 没 pod、列表卡顿、远程 JSON 加载失败上反复踩坑。建议把 Lottie 当成一种需要生命周期管理的原生视图，而不是普通图片组件。安装和基础配置常规项目先安装 lottie-react-native，iOS 再执行 Pod 安装。Expo 项目要确认 SDK 版本支持的 Lottie 版本，不要随意升级到不匹配的包。动画 JSON 可以用本地 require，也可以远程加载；稳定性优先的启动页、支付成功、空状态动画，建议随包发布。npm install lottie-react-nativecd ios && pod installimport LottieView from 'lottie-react-native';import { useEffect, useRef } from 'react';export function LoadingLottie() { const ref = useRef<LottieView>(null); useEffect(() => { ref.current?.play(); return () => ref.current?.reset(); }, []); return ( <LottieView ref={ref} source={require('./assets/loading.json')} autoPlay={false} loop style={{ width: 120, height: 120 }} /> );}播放控制要跟页面状态绑定autoPlay 很方便，但复杂页面不建议到处开。更稳的方式是用 ref 控制 play、pause、reset，并在页面不可见、弹窗关闭或列表项离屏时暂停。进度联动可以用 progress，但频繁从 JS 更新 progress 会有成本，手势场景要特别留意掉帧。function ResultAnimation({ active }: { active: boolean }) { const ref = useRef<LottieView>(null); useEffect(() => { if (active) ref.current?.play(0, 60); else ref.current?.pause(); }, [active]); return <LottieView ref={ref} source={require('./success.json')} loop={false} />;}Android 和 iOS 的边界不完全一样Android 更容易遇到硬件加速、图片资源目录和低端机掉帧问题；iOS 更常见的是 Pod、版本兼容和资源打包问题。不要把一端验证通过当成全端通过，尤其是包含渐变、遮罩、文本图层的动画。上线前至少用一台低端 Android 和一台旧 iPhone 跑真实页面，不要只看模拟器。推荐的组件封装业务里可以封一层轻量组件，把尺寸、循环、错误降级和播放时机收口。这样设计更新动画时，页面不用到处改参数；如果某个版本播放器有兼容问题，也能集中降级。封装不要太厚，保留 source、loop、onAnimationFinish 这类常用能力即可。type Props = { source: object; active: boolean; size?: number };export function AppLottie({ source, active, size = 120 }: Props) { const ref = useRef<LottieView>(null); useEffect(() => { active ? ref.current?.play() : ref.current?.pause(); }, [active]); return <LottieView ref={ref} source={source} style={{ width: size, height: size }} />;}远程加载要有降级和缓存如果业务必须远程下发 JSON，至少要准备加载中占位、失败静态图和版本缓存。接口返回后不要直接相信内容可播放，可以先校验 fr、op、layers 等关键字段，再交给 LottieView。否则一次错误配置就可能让页面出现空白区域，用户不会知道这是动画资源坏了，只会觉得页面没做好。缓存也要有边界。运营动画可以短缓存，关键流程动画最好随 App 版本固定，避免服务端改动影响老客户端。需要灰度时，可以把动画版本号写进配置，出现兼容问题时回滚到上一个 JSON，而不是临时发版。追问本地 JSON 和远程 JSON 应该怎么选？本地 JSON 稳定、首屏可控，适合关键流程和无网也要展示的动画。远程 JSON 灵活，适合运营活动、节日皮肤和可灰度替换的内容，但要处理加载失败、缓存和版本回滚。取舍在于更新频率和可靠性：越关键越本地，越运营越远程。踩坑点是远程 JSON 改了字段后旧 App 播放器不兼容，结果线上动画直接空白。autoPlay 和手动 play() 有什么区别？autoPlay 会在组件挂载后自动开始，写法简单，适合单个静态页面。手动 play() 可以跟页面焦点、弹窗状态、接口完成时机绑定，更适合真实业务。边界是如果组件频繁挂载卸载，autoPlay 可能导致动画重复从头播放，看起来像闪烁。复杂页面里宁愿多写几行生命周期控制，也不要让动画自己乱跑。React Native 列表里使用 Lottie 为什么容易卡？列表滚动时，LottieView 作为原生视图创建成本不低，多个动画同时播放会叠加解析和绘制压力。更稳的做法是默认显示静态首帧，只有选中、曝光或需要强调的 item 才播放。FlatList 参数也要控制窗口大小和初始渲染数量。取舍是视觉动感少一点，但滚动不会被动画拖垮。动态换色应该改 JSON 还是用 colorFilters？如果只有少量主题色，设计导出多份 JSON 最稳，测试成本低。需要运行时跟随品牌色或暗黑模式时，可以用 colorFilters，但前提是图层 keypath 命名稳定。踩坑是设计改了图层名，客户端过滤器失效却不报错。边界是渐变、图片、预合成里的颜色不一定能被简单过滤器覆盖。动画不显示时应该按什么顺序排查？先确认 JSON 能在 LottieFiles 或设计工具里正常预览，再看 RN 资源路径、包版本和平台构建日志。Android 缺图片时检查资源目录，iOS 异常时先确认 pod install 和 clean build。然后再排查样式尺寸，因为 width/height 为 0 也会让你误以为动画坏了。不要一开始就重装依赖，很多问题其实只是路径或容器尺寸。

Lottie JSON 可以理解成一份“动画说明书”：顶层描述画布和时间轴，layers 描述图层，ks 描述变换属性，shapes 描述矢量形状，assets 描述图片或预合成资源。真正排查问题时，不需要背完整规范，但要能看懂几个关键字段，否则遇到动画不显示、颜色改不了、体积异常时只能反复让设计重新导出。顶层字段先看时间和画布常见顶层字段包括 v、fr、ip、op、w、h、assets 和 layers。fr 是帧率，ip/op 是起止帧，动画时长通常可以用 (op - ip) / fr 估算。w/h 是设计画布，不等于组件最终显示尺寸，但会影响缩放比例和裁切判断。{ "v": "5.10.2", "fr": 30, "ip": 0, "op": 90, "w": 375, "h": 240, "assets": [], "layers": []}layers 是排查的入口layers 数组决定动画由哪些图层组成。ty 表示图层类型，常见的 4 是形状图层，2 是图片图层，0 是预合成，1 是文本。每个图层通常有 ip/op 控制它何时出现，ks 控制位置、缩放、旋转和透明度。遇到某一段动画消失，先看对应图层的起止帧和透明度，不要急着怀疑播放器。{ "ty": 4, "nm": "check-icon", "ip": 0, "op": 60, "ks": { "p": { "a": 0, "k": [120, 80, 0] }, "s": { "a": 0, "k": [100, 100, 100] }, "o": { "a": 1, "k": [{ "t": 0, "s": [0] }, { "t": 10, "s": [100] }] } }}shapes 和 assets 决定复杂度形状图层里的 shapes 会包含路径、填充、描边、组和变换。路径点越多、遮罩越多、渐变越复杂，运行时计算越重。assets 则存图片、预合成等资源，图片路径通常由 u 和 p 拼出来。生产环境要确认这些资源能被打包或上传到 CDN，否则 JSON 正常，动画却缺图。如果要做自动检查，可以先抽取几个字段，统计图层数量、图片数量和关键帧属性数量。这个脚本不替代真机测试，但能在代码评审阶段拦下一部分明显过重的动画。function inspectLottie(data) { return { frameRate: data.fr, duration: (data.op - data.ip) / data.fr, layers: data.layers?.length ?? 0, assets: data.assets?.length ?? 0 };}不要把 JSON 当成稳定业务协议虽然 Lottie JSON 是文本格式，但它首先是动画导出产物，不适合让业务代码深度依赖内部层级。比如今天图层叫 button-bg，设计明天合并预合成后路径就变了，客户端按 keypath 改色可能立刻失效。更稳的方式是只读取少量稳定元信息，把主题色、文案、播放区间这类业务配置放在自己的配置文件里。排查线上问题时也要保留原始 JSON 和压缩后 JSON。压缩工具可能会改字段顺序、删除名称或合并路径，体积变小了，但可调试性会下降。团队如果需要运行时换色或按图层埋点，就不要在构建阶段把所有 nm 字段都删掉。追问为什么同一个 Lottie JSON 在不同端表现不一致？因为 Lottie 是规范加运行时实现，不是所有 AE 能做出的效果都能被各端完整支持。Web、iOS、Android 对遮罩、表达式、渐变、文本和某些混合模式的支持存在差异。取舍上，跨端业务动画应少用高级特效，多用基础形状和透明度变化。踩坑最多的是设计在 AE 里看着正常，导出后某端把效果直接忽略了。ks 里的 a: 0 和 a: 1 有什么区别？a: 0 表示这个属性是静态值，k 里直接放当前值；a: 1 表示它有关键帧，k 会变成关键帧数组。排查性能时，有关键帧的属性越多，运行时插值计算越多。边界是关键帧不是坏事，动画本来就靠它，只是不要让每个小装饰都做复杂路径变形。读 JSON 时先看 p/s/r/o 这些变换属性，效率最高。修改 JSON 里的颜色安全吗？简单填充色通常可以改，比如 fl.c.k 里的 RGBA 数组，但并不总是安全。颜色可能被渐变、透明度、预合成或命名层级影响，直接全局替换很容易误伤。更稳的做法是让设计给关键图层命名，再在运行时用 keypath 或导出多套主题文件。取舍是动态换色更灵活，但对图层命名和测试要求更高。图片资源应该内联 base64 还是外部文件？内联 base64 部署简单，少一次资源路径配置，但会让 JSON 变大，也让缓存粒度变差。外部图片更适合 CDN、WebP 压缩和多动画复用，但需要处理路径、打包和离线缓存。移动端项目通常更推荐把图片作为本地资源随包发布，Web 项目则看首屏策略和缓存命中率。边界是很小且只用一次的图标可以内联，大图和复用资源不要内联。如何快速判断一个 JSON 是否可能有性能问题？先看文件体积、layers 数量、路径点数量、是否有大量 masksProperties、ef 和图片资源。再估算时长和帧率，长动画加 60fps 通常要谨慎。这个判断不是最终结论，但能帮助你决定是先找设计减图层，还是先改客户端播放策略。踩坑是只看压缩后大小，忽略未压缩 JSON 在解析时仍然很重。

Lottie 性能优化不要一上来就改代码，先看它到底慢在哪里：是 JSON 太大、路径太复杂、同时播放太多，还是列表滚动时反复挂载。Lottie 本质上是把 After Effects 导出的描述数据交给运行时逐帧解释，文件越复杂，解析、布局、绘制和内存压力都会上来。比较稳的做法是先减设计稿复杂度，再做加载和播放策略，最后才调平台参数。先把 JSON 变轻最有效的优化往往发生在导出前。减少形状图层、合并静态元素、避免大量遮罩和表达式，比在客户端包一层缓存更可靠。帧率也要按场景取舍：启动页或按钮反馈用 24/30fps 通常够用，只有大面积流体动画才值得保留 60fps。图片资源不要直接塞进 base64，体积会膨胀，也不利于 CDN 和本地缓存。{ "fr": 30, "ip": 0, "op": 72, "assets": [{ "id": "image_0", "u": "images/", "p": "logo.webp" }]}播放策略比参数更重要页面里能不自动播放就不要自动播放，尤其是列表、Tab 首页和弹窗背景动画。可见时播放、离屏暂停、只循环关键动画，通常比盲目开启硬件加速更稳。React 或 React Native 里还要避免父组件重渲染导致 LottieView 反复创建，动画数据最好静态 require 或 memo 化。const source = require('./success.json');export function SuccessLottie({ visible }: { visible: boolean }) { const ref = useRef<LottieView>(null); useEffect(() => { visible ? ref.current?.play() : ref.current?.pause(); }, [visible]); return <LottieView ref={ref} source={source} loop={false} autoPlay={false} />;}如何定位真正的瓶颈先用网络面板看 JSON 下载和解析耗时，再用性能工具观察掉帧发生在进入页面、开始播放还是滚动过程中。如果首次进入慢，多半是体积、远程加载和解析问题；如果播放中掉帧，多半是路径、遮罩、渐变或同时播放数量问题；如果滚动时卡，重点看挂载数量和可见区域播放策略。团队里最好给 Lottie 建一个简单准入标准：文件大小、图层数量、最长时长、是否使用图片、是否有低端机实测。标准不需要复杂，但要能在设计交付前发现问题。否则每次都等开发接入后才说卡，返工成本会很高。交付前要和设计约定清楚Lottie 优化不应该只由开发兜底。设计交付时最好同时给出预览文件、目标尺寸、是否循环、是否允许降级成静态图，以及用到的字体和图片资源。开发侧则反馈真机帧率、首屏加载耗时和内存变化。这个协作看起来麻烦，但能避免动画上线前一天才发现某个遮罩在 Android 上不支持。还有一个容易忽略的点是结束态。很多动画播放完要停在最后一帧，如果 JSON 的 op 多留了空白帧，用户会看到短暂停顿；如果循环动画首尾没有对齐，又会出现明显跳帧。这类问题不靠性能参数解决，只能回到时间轴调整。追问Lottie 文件越小就一定越流畅吗？不一定，文件大小只影响下载和解析的一部分成本。一个 80KB 但包含大量路径变形、遮罩和渐变的动画，可能比一个 200KB 的图片序列更吃 CPU。优化时要区分网络体积和渲染复杂度，前者靠压缩和缓存，后者要回到 AE 图层和路径数量。踩坑点是只盯 gzip 后大小，结果低端 Android 还是掉帧。Canvas、SVG 和原生渲染应该怎么选？Web 端小图标、需要 DOM 可访问性或调试时，SVG 更直观；大面积、路径多、频繁播放的动画，Canvas 往往更省。React Native 里主要依赖原生 Lottie 渲染，重点不是选 SVG/Canvas，而是控制同时播放数量和资源释放。取舍在于清晰度、可交互性和性能，不能只看某个 renderer 的平均帧率。边界是动画如果依赖 AE 的高级效果，换渲染模式也可能不支持。硬件加速是不是总应该打开？不是。硬件加速能减少部分绘制压力，但也可能增加纹理内存，多个大尺寸动画同时播放时反而更容易抖。Android 上可以对全屏复杂动画尝试 renderMode=HARDWARE，但小图标或静态结束态未必需要。实践里要按设备分层测试，尤其关注低端机、弱网首次加载和页面切后台再回来。不要把硬件加速当成万能开关。列表里每个 item 都有 Lottie 怎么办？列表中最常见的坑是每个 item 都 autoPlay，滚动时动画创建和销毁叠在一起，JS 线程和 UI 线程都会被打满。更好的方案是只让当前可见或被选中的 item 播放，其余显示首帧或静态图。FlatList 还要配合 windowSize、removeClippedSubviews、initialNumToRender 控制挂载数量。取舍是交互反馈会变克制，但滚动体验会明显稳定。什么时候应该放弃 Lottie，改用视频或静态图？如果动画包含大量粒子、模糊、阴影、3D、长时间渐变背景，Lottie 不一定是合适载体。它适合矢量、短时、可缩放的 UI 动效，不适合把复杂视频效果硬转成 JSON。边界判断很简单：优化后仍然掉帧、JSON 难以维护、设计还要大量 AE 特效时，可以换 MP4/WebM 或首帧静态图。性能优化不是坚持某个技术，而是让用户少等、少卡、少耗电。

Web 项目里接 Lottie，看起来只是引入一个 JSON，实际要同时处理加载、渲染器、生命周期、降级和性能。很多页面一开始播放很顺，等营销活动上线、多个动画同时进首屏，就会出现掉帧、内存泄漏或移动端白屏。比较稳的做法是：先确定动画用途，再选接入方式，最后把播放控制和销毁逻辑写进组件生命周期里。先选接入方式如果只是运营页放一个循环动画，<lottie-player> 上手最快，HTML 里声明 src、loop、autoplay 就能跑，适合低代码页面或非复杂交互。缺点是可控性有限，深度定制和精细事件管理不如直接用 lottie-web。React、Vue、Angular 项目里，如果动画要和按钮点击、滚动进度、表单状态联动，建议直接封装 lottie-web；这样能拿到实例，控制 play、pause、stop、goToAndStop、setSpeed 和 destroy。安装时用 npm 包比直接挂 CDN 更可控，版本也能锁住。动画 JSON 可以放 public 目录走 URL，也可以作为模块 import 进来。前者适合大文件和 CDN 缓存，后者适合小动画、构建时一起校验；边界是不要把很多大型 JSON 全部打进首屏 bundle，否则还没播放动画，页面 JS 就先变重了。import { useEffect, useRef } from 'react'import lottie from 'lottie-web'export function LottieBox({ path, loop = true }) { const el = useRef(null) useEffect(() => { if (!el.current) return const anim = lottie.loadAnimation({ container: el.current, renderer: 'svg', loop, autoplay: true, path }) return () => anim.destroy() }, [path, loop]) return <div ref={el} aria-hidden="true" />}渲染器不是随便选lottie-web 常见渲染器有 svg、canvas 和 html。SVG 清晰、可缩放、方便调试，也适合图层不太多的图标和插画动画；Canvas 对大量元素或频繁变化更友好，但不如 SVG 容易被 CSS 精细控制。HTML 渲染器使用场景较少，除非你明确知道它解决了什么问题，否则不要默认选它。如果动画需要响应式尺寸，容器用 CSS 控制宽高，实例创建后在 resize 时调用 animation.resize()。如果页面里有多个 Lottie，别让它们全部 autoplay；进入视口再加载，离开视口暂停，通常比事后抱怨“Lottie 性能差”有效得多。对于装饰动画，还要考虑 prefers-reduced-motion，用户系统设置减少动态效果时，应停用自动播放或改成静态图。const reduceMotion = window.matchMedia('(prefers-reduced-motion: reduce)').matchesconst observer = new IntersectionObserver(([entry]) => { if (entry.isIntersecting && !reduceMotion) animation.play() else animation.pause()})observer.observe(container)加载失败和降级要提前设计线上最常见的问题不是 API 不会用，而是 JSON 路径 404、跨域配置缺失、图片资源没一起上传、组件卸载后实例还在跑。接入时至少监听 data_failed，并给容器准备一张静态 fallback。动画文件走 CDN 时，缓存时间可以长一点，但文件名最好带 hash；如果同名文件被替换，用户本地缓存旧 JSON，前端代码却按新结构控制帧，问题会很隐蔽。颜色和文案动态修改也要克制。直接改 JSON 内部结构可以做到，但它依赖 AE 导出的层级和 keypath，一旦设计师重命名图层就会失效。更稳的方式是把需要变体的动画提前拆好，或约定图层命名规范，再用测试覆盖关键路径。追问用 lottie-web 还是 LottieFiles Player 更好？如果只是展示动画，LottieFiles Player 简洁，交给内容同学维护也方便。需要和业务状态联动时，lottie-web 更合适，因为实例 API 更直接，生命周期也更可控。取舍点是开发成本和控制能力：越靠近业务逻辑，越不该把控制权藏在 Web Component 里。踩坑是先用 Player 快速上线，后面要按滚动进度控制帧，结果又重写一遍。SVG 和 Canvas 渲染器怎么选？SVG 适合小型、清晰、可缩放的动效，比如图标、空状态、按钮反馈。Canvas 更适合图层多、变化频繁的动画，但它不方便逐个节点用 CSS 控制，也要注意高清屏缩放。边界是不要凭感觉选，拿同一份 JSON 在目标机型上测 FPS 和内存。常见坑是桌面浏览器 SVG 很顺，低端 Android 同时播放三个后就明显卡顿。Lottie 动画应该打进 bundle 还是放 CDN？小而关键的动画可以随包引入，构建能发现 JSON 是否存在，离线体验也更简单。大文件、运营素材和可替换动画更适合放 CDN，通过 path 加载并设置缓存。取舍在首屏体积和发布灵活性之间：bundle 稳但重，CDN 灵活但要处理网络失败。踩坑是把十几个活动动画 import 到首页，用户还没看到它们就先下载了几 MB 的 JS。组件卸载时为什么一定要 destroy？Lottie 实例会持有 DOM、定时器、事件监听和渲染状态，单页应用路由切换后如果不销毁，内存会慢慢涨。暂停只能停播放，不等于释放资源；真正离开页面或组件时应该调用 destroy()。边界是弹窗临时隐藏可以 pause，组件永久卸载才 destroy。很多“页面越用越卡”的问题，最后都能追到没有清理动画实例。怎么给不支持或不想看动画的用户降级？最简单的降级是一张同尺寸静态图，加载失败、减少动态效果、低性能设备都可以显示它。复杂业务也可以降级成 CSS transition，但不要为了还原 Lottie 再写一套复杂动画。取舍是体验一致性和维护成本：静态图不酷，但稳定、便宜、可预测。踩坑是只在网速好、设备新的环境测试，线上遇到弱网时容器空白，用户以为页面没加载完。

做 Lottie 最容易踩的坑，不在导出按钮，而在 AE 项目一开始就没按 Lottie 的边界来做。Lottie 本质是把 After Effects 动画转成 JSON，再由 Web、iOS 或 Android 的运行时解释播放；它擅长矢量形状、基础变换、遮罩和简单透明度，不擅长大量 AE 特效、复杂表达式、3D 摄像机和高分辨率位图。所以正确流程不是“动画做完再试着导出”，而是从建合成、画图层、加关键帧开始就把兼容性和性能算进去。从项目设置开始控制边界新建合成时先确认目标端：移动端图标动效通常用 300 到 600px 的正方形合成，落地页首屏动画可以按实际容器比例做，但不要直接套 1920×1080。帧率建议 30fps，只有对运动细节特别敏感的品牌动画才考虑 60fps；帧率越高，JSON 里的关键帧越密，低端机解析压力越明显。时长也要克制，加载动效 1 到 3 秒，说明性动画 5 到 8 秒通常够用。安装 Bodymovin 后，在 AE 的 Window > Extensions 打开面板。导出前先把素材整理干净：图层命名不要用奇怪符号，预合成层级不要套太深，没用的隐藏层、参考层、测试图层都删掉。位图能不用就不用，必须用图片时压缩到实际显示尺寸，并确认导出包会包含 images 文件夹，否则前端只拿到 JSON 会丢图。动画制作时优先用 Lottie 友好的属性最稳的是形状图层加基础属性：Position、Scale、Rotation、Opacity、Path、Trim Paths、Fill、Stroke。这些属性在 lottie-web 和移动端运行时里支持更成熟，跨端表现也更一致。文本图层要谨慎，如果目标端没有对应字体，最终会出现换行、字重或位置偏移；需要完全一致时，可以把文字转成形状，但代价是文件变大、后续改文案不方便。常见做法是先把 AI 或 Figma 里的矢量拆成清晰分组，再在 AE 里转成 Shape Layer。不要把一个复杂 SVG 全部塞进单个图层，后期调动画会很痛苦；也不要拆成几十上百层同时动，浏览器渲染会卡。比较稳的取舍是：需要独立运动的元素单独成层，只作为静态装饰的元素合并成组。// 导出前可按这个方向检查，不是 AE 脚本const lottieChecklist = { fps: 30, duration: '<= 8s', preferred: ['shape', 'position', 'scale', 'rotation', 'opacity', 'trim paths'], avoid: ['3d layer', 'camera', 'heavy effects', 'unsupported expressions'], image: 'use only when vector is too expensive'}用 Bodymovin 导出并验证在 Bodymovin 面板里刷新合成，选择要导出的 Composition，设置输出路径后点击 Render。一般建议关闭 Demo HTML、开启压缩，先不要勾太多实验选项；如果动画依赖图片，确认 Assets 路径正确。导出后不要直接交付，先把 JSON 上传到 LottieFiles Preview 或本地 lottie-web 页面里看一遍，重点检查图层缺失、遮罩方向、透明度、缓动节奏和文件体积。如果预览和 AE 不一致，先回 AE 查 unsupported features，而不是让前端硬调。Lottie 的问题往往不是“代码没写对”，而是 JSON 里根本没有 AE 某个效果的等价表达。最终交付时最好同时给出 JSON、图片资源、建议尺寸、是否循环、背景是否透明、期望播放触发时机，这些信息能减少很多联调误会。追问为什么 AE 里正常，导出成 Lottie 后效果丢了？因为 Bodymovin 不是录屏工具，它只会把支持的图层和属性翻译成 JSON。模糊、粒子、部分混合模式、复杂表达式、3D 摄像机这类效果经常无法完整转换。取舍上，如果必须百分百还原复杂视觉，视频或 APNG 可能更稳；如果要小体积、可交互、可换色，才更适合 Lottie。踩坑点是设计师最后一天才导出测试，发现核心效果不支持时已经没有重做时间。文字要保留为文本图层，还是转成形状？保留文本的好处是 JSON 较小，也方便以后换文案，但它依赖运行环境字体，跨端一致性差。转成形状后视觉更稳定，缺点是路径数量增加，文件会变大，动态改字也基本不可行。边界是品牌 Logo、固定标题可以转形状，运营文案、国际化内容不建议这么做。常见坑是中文字体在 Web 上没有加载成功，AE 里一行字到浏览器里变成两行。什么时候该用图片，不该强行全矢量？简单图标、线条、几何图形优先矢量，缩放清晰，也容易改颜色。复杂插画如果路径点特别多，矢量 JSON 反而会比压缩图片更重，播放时还更吃 CPU。取舍标准可以看实际包体和帧率：同样视觉下，哪个更小、更稳就用哪个。踩坑是为了“保持矢量”把几千个路径点塞进 Lottie，结果首屏动画比一张 WebP 还卡。导出文件多大算合理？没有绝对数字，但用于按钮、空状态、加载反馈的 Lottie，通常应控制在几十 KB 到两三百 KB。首屏大动画可以更大，但要配合懒加载、缓存和降级图。边界在于 Lottie 是运行时解析 JSON，不是浏览器原生视频解码，文件越复杂越容易把主线程拖慢。不要只看 JSON 体积，还要在目标设备上看掉帧、发热和首次播放延迟。

直接回答存储型 XSS 和反射型 XSS 的核心区别在于恶意脚本是否被服务器保存。存储型 XSS 会把 payload 写进数据库、评论、资料、工单、消息等持久化位置，之后每个访问相关页面的用户都可能中招；反射型 XSS 通常藏在 URL 或表单参数里，服务器把它原样拼回响应，只有点击恶意链接或提交特定请求的用户会触发。一个像埋地雷，一个像递刀片，前者影响面更大，后者更依赖诱导。防护思路也不同。存储型要重点管住“写入后再展示”的完整链路，包括后台审核页、管理端列表和导出内容；反射型要重点检查搜索、错误提示、跳转、登录回跳这类即时响应。两者共同底线是按输出上下文编码，不把用户输入当 HTML、JS、CSS 或 URL 直接拼接。输入过滤可以减少脏数据，但不要把它当唯一防线，因为同一份数据在不同上下文里危险点完全不同。还有一个容易忽略的边界：同一个字段今天只在纯文本位置展示，明天可能被产品放进富文本卡片或运营邮件里，所以“当前没事”不能当成长期安全结论。对比代码// 反射型：q 来自本次请求，立刻进入响应app.get('/search', (req, res) => { res.send(`<p>搜索：${escapeHtml(req.query.q || '')}</p>`);});// 存储型：评论先入库，展示时仍要编码app.get('/comments', async (req, res) => { const rows = await db.query('select content from comments'); res.send(rows.map(r => `<p>${escapeHtml(r.content)}</p>`).join(''));});这段示例故意把编码放在输出侧。很多团队喜欢在入库前“清洗干净”，但评论可能在网页、App WebView、邮件模板、后台表格里被复用，不同场景需要不同编码。入库前可以做长度、类型和业务规则校验；真正决定是否会执行脚本的，往往是展示时的上下文。追问为什么存储型 XSS 通常更危险？因为它不需要每次诱导用户点击恶意链接，只要恶意内容留在系统里，后续访问者都会暴露在风险下。评论区、用户昵称、客服消息、站内信、后台备注都可能成为传播点。更麻烦的是管理员也可能访问这些内容，一旦后台中招，攻击者可能拿到更高权限。边界是反射型如果结合钓鱼、短链接和已登录状态，也能造成严重后果，不能简单认为它只是中危。反射型 XSS 为什么还常见？因为很多页面会把用户输入立即展示出来，比如搜索词、错误信息、表单校验结果和跳转提示。开发者容易觉得“只是显示一下参数”，于是直接拼 HTML。反射型的踩坑点在于它经常出现在边角页面，不在主流程测试范围内。尤其是老服务端模板，一段字符串拼接就可能把 URL 参数变成可执行脚本。输入过滤和输出编码应该怎么取舍？输入过滤适合做业务合法性校验，例如昵称长度、评论最大字数、URL 是否属于允许域名。输出编码负责安全上下文，例如 HTML 文本、HTML 属性、JavaScript 字符串、CSS 和 URL 编码规则都不一样。只做输入过滤会遇到绕过，也会误伤正常内容；只做输出编码又可能让垃圾数据长期污染数据库。实际项目里两者都要有，但安全兜底应放在输出编码和安全渲染上。富文本场景怎么处理存储型 XSS？富文本不能简单转成纯文本，否则业务体验会崩；但也不能相信编辑器输出，因为攻击者可以绕过前端直接调接口。更合理的是服务端或展示层使用白名单清洗，只允许必要标签和属性，例如段落、列表、链接、加粗和代码。链接要额外限制协议，图片要限制来源和大小。踩坑点是后台预览、移动端 WebView、邮件通知也要走同一套清洗规则，否则主站安全，旁路页面仍然中招。组合防护应该包含哪些层？第一层是输出编码和安全模板，保证默认渲染不执行脚本。第二层是富文本清洗、URL 协议白名单和危险 API 禁用，减少特殊场景的攻击面。第三层是 CSP、Cookie HttpOnly/SameSite/Secure、权限最小化和审计日志，降低漏洞被利用后的收益。最后要把安全测试放进流程，评论、搜索、资料、后台列表这些输入展示链路，每次改版都应该有回归用例。

直接回答DOM 型 XSS 是漏洞发生在浏览器端的一类 XSS：页面脚本从 location、postMessage、localStorage、URL 参数等来源读取不可信数据，再写入 innerHTML、document.write、eval、setTimeout(string) 等危险位置，最终让浏览器执行了攻击者控制的代码。它和反射型、存储型最大的区别是，恶意内容不一定经过服务器响应，服务端日志里可能什么都看不到。检测 DOM 型 XSS 要抓两件事：source 和 sink。source 是不可信输入从哪里来，sink 是它被送到哪里执行或解析。修复时优先改 sink，例如能用 textContent 就别用 innerHTML；确实要渲染 HTML，就先清洗；涉及 URL 跳转、iframe、图片地址时，要做协议和域名白名单。DOM XSS 难发现，不是因为原理复杂，而是因为前端状态太多，数据在路由、组件、缓存和第三方库之间绕几圈后，没人记得它最初来自用户。危险与修复示例const keyword = new URLSearchParams(location.search).get('q') || '';// 危险：把 URL 参数当 HTMLresult.innerHTML = `搜索：${keyword}`;// 安全：只按文本显示result.textContent = `搜索：${keyword}`;如果业务必须展示高亮 HTML，不要手写几个 replace 就收工。HTML 上下文、属性上下文、URL 上下文的编码规则不同，手写函数很容易漏掉实体编码、大小写、闭合标签和 SVG 事件。用成熟库清洗，再配合单元测试覆盖常见 payload，会比临时补丁可靠得多。追问DOM 型 XSS 和反射型 XSS 怎么区分？反射型 XSS 通常是服务器把请求参数拼进响应，漏洞点在服务端输出。DOM 型 XSS 则是浏览器端脚本自己读取并写入 DOM，服务器可能只是返回同一个静态页面。两者有时会混在一起，例如 URL 参数先被服务端渲染，再被前端脚本二次处理。判断边界时可以看恶意 payload 是否出现在 HTTP 响应体里，如果响应体没有但页面执行了，往往就是 DOM 型。常见 source 和 sink 有哪些？常见 source 包括 location.href、location.search、location.hash、document.referrer、window.name、postMessage、localStorage 和接口返回中的用户字段。常见 sink 包括 innerHTML、outerHTML、insertAdjacentHTML、document.write、eval、new Function、字符串形式的 setTimeout。取舍点是有些 API 本身不是绝对禁用，比如 innerHTML 渲染可信模板可以接受。问题在于不可信数据流进这些位置时，必须有清洗、编码或白名单校验。手动测试 DOM XSS 应该怎么做？先找页面里会读取 URL、hash、消息事件和本地存储的代码，再看这些值是否进入危险 sink。测试 payload 不要只用 <script>alert(1)</script>，现代浏览器和插入方式下它经常不执行，可以补充 <img src=x onerror=alert(1)>、SVG、属性闭合等变体。测试时要覆盖路由切换、弹窗打开、搜索建议、富文本预览等交互路径。踩坑点是单页应用很多逻辑懒加载，页面刚打开没触发，不代表没有漏洞。自动化工具能发现所有 DOM XSS 吗？不能，但它们能显著降低漏检。静态扫描能找出 source 到 sink 的可疑数据流，动态扫描能在真实浏览器里观察 payload 是否执行。边界在于复杂框架、混淆代码、运行时拼接和第三方组件会让工具误报或漏报。比较稳的做法是把 Semgrep/ESLint 规则放进 CI，再对高风险页面做人工复核和浏览器动态测试。防护 DOM XSS 的组合策略是什么？第一层是安全 API：文本用 textContent，属性用框架绑定，不把字符串当代码执行。第二层是输入和 URL 白名单，特别是跳转、iframe、图片和下载链接。第三层是富文本清洗和 CSP，减少漏网内容执行脚本或外传数据。最后还要保护 Cookie，给会话 Cookie 加 HttpOnly、Secure、SameSite，这样即使某处出现脚本执行，攻击收益也会被压低。

直接回答Content Security Policy，简称 CSP，是浏览器执行的一套资源加载和脚本执行规则。它不能替代输出编码，也不能把脏 HTML 自动洗干净，但它能在 XSS payload 混进页面后继续拦一刀：不允许内联脚本执行，不允许加载未知域名脚本，不允许 eval，也能限制表单提交、iframe 嵌套和基础 URL。对安全来说，CSP 更像安全带，不是刹车；撞车前最好别撞，真撞上时它能降低伤害。一个可落地的 CSP 通常从 Report-Only 开始，先收集违规报告，再逐步收紧。新项目优先使用 nonce 或 hash，少用 'unsafe-inline'；老项目如果内联脚本很多，可以先把脚本拆出去，再引入 nonce。CSP 的难点不是写出一条很漂亮的 header，而是在业务脚本、监控、A/B 测试、支付、客服和广告之间找到可维护的边界。推荐配置Content-Security-Policy: default-src 'self'; script-src 'nonce-r4nd0m' 'strict-dynamic' https:; object-src 'none'; base-uri 'self'; frame-ancestors 'none'; img-src 'self' https: data:; connect-src 'self' https://api.example.com; report-uri https://report.example.com/csp;nonce 必须每个响应重新生成，并且只发给服务器确认过的脚本标签。不要把 nonce 写死在模板、缓存片段或全局变量里，否则攻击者只要读到一次就能复用。object-src 'none'、base-uri 'self'、frame-ancestors 这些指令常被忽略，但它们能挡住不少老式插件、base 标签劫持和点击劫持组合拳。追问CSP 能不能彻底解决 XSS？不能，CSP 是缓解措施，不是根治手段。真正的根治仍然是按上下文输出编码、富文本白名单清洗、避免危险 DOM API。CSP 的价值在于漏洞发生后减少脚本执行和数据外传，例如阻止未知域名脚本、限制 connect-src。边界是浏览器兼容、策略误配、已有可信脚本被利用时，CSP 仍可能被绕过。nonce、hash 和白名单域名该怎么选？nonce 适合服务端渲染页面，因为每次响应都能给合法脚本发一个随机通行证。hash 适合内容固定的内联脚本，脚本一改 hash 就要更新，维护成本更高但不依赖运行时注入。域名白名单看起来简单，却容易因为信任整个 CDN 或第三方域名而扩大攻击面。取舍上，新系统优先 nonce/hash，域名白名单只给确实需要的外部资源，别把 https: 当万能许可。为什么很多 CSP 最后都加了 'unsafe-inline'？通常是历史包袱：页面里有大量内联事件、内联脚本、老组件或第三方片段，一关就坏。加 'unsafe-inline' 能快速恢复业务，但也会让 CSP 对内联 XSS 的防护大打折扣。更好的迁移方式是先用 Content-Security-Policy-Report-Only 收集问题，再按页面分批移除内联脚本。踩坑点是报告量会很大，需要聚合去重，不然安全团队很快被噪音淹没。strict-dynamic 有什么用？strict-dynamic 表示只要一个带 nonce 或 hash 的可信脚本被允许执行，它动态加载的后续脚本也可以被信任。它适合现代前端打包和运行时加载场景，能减少维护一长串脚本域名的痛苦。边界在于你必须先保护好入口脚本，入口脚本如果被污染，动态信任会放大问题。老浏览器支持也要评估，必要时保留兼容性的域名策略。CSP 上线最容易踩哪些坑？第一是把策略一次性收太紧，导致支付、验证码、地图、监控全挂。第二是只配置 script-src，却忘了 connect-src、frame-src、form-action，攻击者仍可能把数据送出去。第三是没有监控报告，线上误杀只能靠用户投诉。实战里建议按页面或业务域灰度，先 Report-Only，再 Enforcement，并把违规报告接入告警和例外审批。

直接回答React、Vue、Angular 都会默认把模板里的普通文本做 HTML 转义，所以把用户昵称、搜索词、评论摘要渲染成文本时，一般不会直接变成脚本执行。真正的风险通常出现在开发者主动绕过框架保护：React 的 dangerouslySetInnerHTML、Vue 的 v-html、Angular 的 bypassSecurityTrustHtml，以及把不可信数据拼到 URL、CSS、事件处理器或第三方组件配置里。框架能减少常见错误，但不能替你判断一段 HTML 是否可信，也不能保证后端、富文本编辑器、Markdown 渲染器和广告脚本都安全。防 XSS 更稳的做法是分层处理：默认用文本渲染；确实要展示富文本时先用 DOMPurify 这类白名单清洗；URL 只允许 https:、mailto: 等业务需要的协议；再用 CSP 限制脚本来源，降低漏网 payload 的执行概率。不要把“用了 React/Vue/Angular”当成免疫证书，XSS 往往就藏在为了赶需求开的那个逃生口里。必要代码import DOMPurify from 'dompurify';function SafeRichText({ html }: { html: string }) { const clean = DOMPurify.sanitize(html, { ALLOWED_TAGS: ['p', 'a', 'strong', 'em', 'ul', 'ol', 'li', 'code'], ALLOWED_ATTR: ['href', 'title', 'target', 'rel'] }); return <div dangerouslySetInnerHTML={{ __html: clean }} />;}这段代码的重点不是“用了 sanitize 就万事大吉”，而是把允许的标签和属性收窄。富文本业务经常要开放链接、图片或代码块，每多放一个标签，测试用例就要覆盖它的危险属性和协议。尤其是链接，javascript:、data:、奇怪大小写和编码绕过都要检查。追问React、Vue、Angular 的自动转义具体防住了什么？自动转义主要防住“把字符串当成 HTML 解析”的问题，例如用户输入 <img onerror=alert(1)>，框架会把尖括号转成文本显示。它适用于文本节点和大多数属性绑定，但前提是你没有主动要求框架把内容当 HTML 插入。边界在于 URL、CSS、SVG、iframe 等上下文的规则不同，单纯 HTML 转义不一定够。实际项目里最容易踩坑的是把搜索词、昵称这些看似普通的字段临时塞进富文本容器，结果绕过了默认保护。为什么 dangerouslySetInnerHTML、v-html 不能直接用？这类 API 的名字已经说得很直白：它们会跳过模板转义，把字符串交给浏览器按 HTML 解析。如果字符串来自 CMS、评论、客服消息、Markdown 或外部接口，就等于让外部数据参与页面结构生成。取舍点在于富文本确实需要这些 API，否则无法保留段落、链接和强调样式。正确做法不是完全禁用，而是把调用点集中封装，统一清洗、统一审计，避免每个业务组件各写一套临时逻辑。Angular 的安全机制是不是比 React、Vue 更强？Angular 对不同上下文有更细的安全模型，会区分 HTML、Style、URL、Resource URL，并在模板绑定时做相应处理。它的优势是默认约束更明确，团队不容易随手拼接危险模板。边界也很清楚，一旦使用 bypassSecurityTrust...，就是开发者声明“我保证这段内容可信”。踩坑常见于为了解决视频嵌入、富文本预览或老页面迁移而滥用 bypass，最后把安全责任从框架手里拿了回来。只靠前端框架防护够不够？不够，因为 XSS 的入口不一定只在当前前端项目里。后端模板、管理后台、第三方 SDK、富文本编辑器、Markdown 渲染、埋点脚本都可能把不可信数据重新带回页面。组合防护要同时有输出编码、富文本清洗、协议白名单、Cookie 的 HttpOnly/SameSite/Secure、CSP 和依赖升级。这样即使某一层漏掉，攻击者也不容易直接拿到会话或执行任意脚本。团队里怎么把这件事落地？最有效的办法是减少“自由发挥”的入口，例如只提供 SafeHtml、SafeLink、RichTextRenderer 这些经过审计的组件。代码评审重点看是否出现 innerHTML、outerHTML、document.write、字符串形式的 setTimeout、不受控的 iframe src。自动化层面可以加 ESLint 规则和 Semgrep 规则，把危险 API 变成需要解释的例外。边界是安全规则不能阻断正常业务，所以组件要给出可用替代方案，否则大家会绕过规则。

Consul 的服务发现可以拆成三步：服务把地址、端口和健康检查注册到本机 Consul Agent；Agent 定期执行检查，并把状态同步到 Consul server；调用方通过 DNS 或 HTTP API 查询健康实例，再由客户端、网关或负载均衡器决定访问哪一个。关键点是服务通常不是直接注册到远端 server，而是注册到同机或同网段的 client agent。这样服务上下线、健康检查和网络抖动都先在本地处理，server 负责维护一致的服务目录。服务定义可以放在 /etc/consul.d/web.json：{ "service": { "id": "web-10-0-1-12", "name": "web", "address": "10.0.1.12", "port": 8080, "tags": ["v1", "blue"], "checks": [{ "id": "web-http", "http": "http://10.0.1.12:8080/health", "interval": "10s", "timeout": "2s", "deregister_critical_service_after": "1m" }] }}重新加载后即可注册和查询：consul reloadconsul catalog servicescurl 'http://127.0.0.1:8500/v1/health/service/web?passing=true'dig @127.0.0.1 -p 8600 web.service.consulHTTP API 返回信息完整，适合网关、控制面或自定义客户端；DNS 接口语言无关，适合旧系统或不想引 SDK 的应用。取舍也很清楚：HTTP 能拿到 tags、checks、metadata 和过滤参数，但要解析 JSON；DNS 接入成本低，但复杂灰度和权重逻辑通常要交给网关。生产查询建议加 passing=true，否则调用方可能拿到已经失败但还留在目录里的实例。追问服务应该注册到 Consul server 还是 client agent？推荐注册到本机或本地网络里的 client agent，而不是让每个应用直接写 server。client agent 负责本机服务注册、健康检查和请求转发，server 负责维护目录。这样 server 故障、Leader 切换或网络抖动时，应用侧改动更少。踩坑点是容器环境里 address 填成 127.0.0.1，别的服务发现后根本访问不到。DNS 查询和 HTTP API 查询怎么选？DNS 查询最简单，很多老应用只要改解析配置就能接入 web.service.consul。HTTP API 信息更丰富，可以按 tag、健康状态和数据中心过滤，也能拿到服务元数据。边界是 DNS 只返回地址类结果，不适合承载复杂版本和灰度逻辑。常见做法是基础服务用 DNS，网关或服务框架用 HTTP API 做精细路由。健康检查失败后服务会立刻消失吗？不会，Consul 会先把 check 标记为 warning 或 critical，服务目录中仍可能存在。使用 /v1/health/service/web?passing=true 才会只拿到健康实例。deregister_critical_service_after 可以让长期 critical 的服务自动注销，但时间不要设太短。这个取舍是保留诊断信息，同时让调用方有能力过滤不可用实例。Consul 是否负责客户端负载均衡？Consul 主要负责发现和健康状态，不直接替应用完成每次请求的负载均衡。DNS 返回多个 A 记录时可能轮询，但行为受缓存、TTL 和语言运行时影响。HTTP API 返回实例列表后，客户端或网关仍要自己做轮询、随机、权重、就近访问和重试。不要把 Consul 当成 Nginx 或 Envoy，它更像服务目录和健康数据源。

Consul 的多数据中心不是把一个 Raft 集群横跨几个机房，而是每个数据中心有自己的 Consul server 集群，再通过 WAN Gossip 和远程 RPC 互相发现。这样做的好处是本地故障不会直接拖垮其他数据中心，服务查询也优先走本地。代价是 KV、ACL、服务目录并不是天然全局一致，跨数据中心访问要明确指定目标 DC。很多误解都来自这里：Consul 支持联邦，不等于自动同步所有配置和业务流量。常见生产结构是每个数据中心 3 或 5 个 server，业务机器运行 client agent。server 参与 Raft，client 负责本机服务注册、健康检查和转发查询。跨数据中心只让 server 加入 WAN 池，普通 client 不需要加入。dc1 的 server 配置可以这样写：datacenter = "dc1"node_name = "consul-dc1-s1"server = truebootstrap_expect = 3data_dir = "/opt/consul"bind_addr = "10.0.0.11"client_addr = "0.0.0.0"encrypt = "<same-gossip-key>"retry_join = ["10.0.0.12", "10.0.0.13"]retry_join_wan = ["10.1.0.11", "10.1.0.12", "10.1.0.13"]启动后用这些命令确认联邦是否正常：consul membersconsul members -wanconsul catalog datacentersdig @127.0.0.1 -p 8600 web.service.dc2.consul服务仍然在本地注册，查询远程服务时通过 HTTP API 加 ?dc=dc2，或用 DNS 名称 web.service.dc2.consul。是否切到远端要由客户端、网关或服务网格决定，因为跨地域流量涉及延迟、成本、数据一致性和用户归属。追问为什么不建议把一个 Consul Raft 集群跨机房部署？Raft 对延迟和网络抖动很敏感，Leader 选举和日志提交都依赖多数派确认。跨机房部署会让写入变慢，网络闪断时还可能频繁选主。Consul 推荐每个数据中心一套本地 Raft，再用 WAN 联邦做发现。这个取舍牺牲了全局强一致目录，换来本地可用性和清晰故障边界。多数据中心下服务发现是自动故障转移吗？不是完全自动，Consul 提供跨数据中心查询能力，但是否切流要看业务策略。比如本地没有健康实例时，网关可以再查 web.service.dc2.consul。踩坑点是把“能查到远端服务”误认为“可以直接切过去”。生产上要提前定义哪些服务可跨 DC，哪些受数据库、会话或合规限制只能本地调用。KV 和配置会在数据中心之间自动同步吗？默认不会，每个数据中心的 KV 是独立的。你可以用 consul kv export 和 consul kv import 做迁移，也可以用外部配置平台分发到多个 DC。自动同步听起来方便，但配置错误也会被同步放大。边界是不要把 Consul KV 当成跨地域强一致数据库，它更适合轻量配置和服务治理数据。WAN Gossip 配置最容易错在哪里？第一类错误是端口没放通，只开放 8500 通常不够。第二类错误是各数据中心的 Gossip 加密 key 不一致，表现为节点一直加不进 WAN 池。第三类是把 client 节点也加入 WAN，导致成员列表混乱和跨地域流量变多。排查时先看 consul members -wan，再看日志里的 join、decrypt、coordinate 相关错误。

选服务发现工具时，不能只看功能表，要先看团队到底要解决什么问题。Consul 的强项是把服务注册发现、健康检查、DNS 查询、多数据中心和 KV 能力放在一起，适合多语言、跨机房、非 Kubernetes 专用的服务治理场景。Eureka 更贴近 Spring Cloud 老体系，Java 应用接入顺手，但 2.x 已停止活跃演进，新项目不太建议从零押注。ZooKeeper 和 etcd 都能作为注册发现的底层存储，但它们更偏分布式协调或强一致 KV，健康检查、服务模型和 DNS 接入通常要自己补。Consul 的最小服务注册大概是这样：{ "service": { "id": "order-1", "name": "order", "address": "10.0.1.12", "port": 8080, "checks": [{ "http": "http://10.0.1.12:8080/health", "interval": "10s", "timeout": "2s" }] }}查询时可以走 HTTP API，也可以走 DNS：curl 'http://127.0.0.1:8500/v1/health/service/order?passing=true'dig @127.0.0.1 -p 8600 order.service.consul这个能力组合也是 Consul 的取舍：它开箱即用的东西多，生产配置也更多。至少要考虑 Raft server 数量、ACL、TLS、Gossip 加密、健康检查频率和故障演练。小团队如果只有少量 Java 服务，Nacos 或 Spring 生态方案可能更省心；如果服务来自 Go、Java、Node、Python，又需要 DNS 兼容老系统，Consul 更合适。追问Consul 和 Eureka 最大区别是什么？Eureka 更强调客户端心跳和最终一致性，故障时倾向继续可用。Consul 通过健康检查和 Raft 维护目录状态，配合 passing=true 可以更严格过滤不健康实例。这个取舍会影响故障体验，Eureka 更依赖客户端重试，Consul 更早把健康状态放进发现层。踩坑点是 Consul 不负责每次请求的负载均衡，客户端或网关仍要自己选择实例。Consul 和 ZooKeeper 都能做注册中心，为什么还要选 Consul？ZooKeeper 的强项是临时节点、选主、锁和配置监听，不是开箱即用的服务目录。用它做服务发现通常要自己约定节点结构、健康检查和客户端封装。Consul 已经内置服务模型、健康检查、DNS/API 查询，接入和运维更直接。边界是存量系统如果已经稳定运行在 ZooKeeper 上，不要为了工具更新轻易迁移。etcd 和 Consul 都用 Raft，是否可以互相替代？etcd 是优秀的强一致 KV，Kubernetes 用它保存集群状态。它不提供 Consul 那种完整服务发现体验，租约、心跳、服务列表和客户端监听都需要额外封装。Consul 更像服务发现产品，etcd 更像可靠存储底座。实际选择时，纯 Kubernetes 内优先用 Service 和 CoreDNS，VM、裸机、多语言混合部署再考虑 Consul。什么情况下不应该上 Consul？如果应用都在 Kubernetes 里，且只需要集群内服务发现，Kubernetes Service 通常够用。为了一个简单注册中心再部署 Consul，会增加 ACL、证书、备份和监控成本。另一个不适合的场景是团队没有跨语言、跨数据中心或 DNS 接入需求，只是少量 Java 服务。工具越完整，误配置空间越大，没有明确收益时简单方案更可靠。

whistle 是基于 Node.js 的本地代理调试工具，常用来抓包、改请求、改响应、做接口 Mock、切换测试环境和调试移动端流量。它不像 Charles、Fiddler 那样主要依赖图形化操作，而是把很多能力放进规则文本里，适合前端团队沉淀一套可复制的调试方案。这个取舍很现实：规则可共享、可复用，但第一次配置代理、证书和规则时更容易出错。安装一般只需要 Node 环境：npm install -g whistlew2 startw2 status启动后默认控制台是 http://127.0.0.1:8899。浏览器或手机把 HTTP/HTTPS 代理指向运行 whistle 的机器和 8899 端口，就能看到请求列表。HTTPS 调试必须安装并信任根证书，否则只能看到 CONNECT 隧道，看不到明文请求和响应。常见规则可以这样写：api.example.com 127.0.0.1:3000https://api.example.com/user file:///Users/me/mock/user.jsonwww.example.com resHeaders://{cors}第一行适合把接口转到本地服务，第二行适合固定 Mock 响应，第三行常用于临时验证跨域响应头。whistle 适合快速定位和验证问题，但不适合替代正式网关、灰度平台或线上流量治理。规则越多，越要按项目和场景分组，否则后来的人很难判断异常响应来自后端，还是被本地代理改过。追问whistle 和 Charles、Fiddler 怎么选？如果只是偶尔看请求、导出 HAR 或给测试复现问题，Charles 这类图形化工具更容易上手。whistle 更适合开发团队，因为规则可以复制到文档，也方便做 Mock 和转发。它的边界是本地环境依赖更强，Node、系统代理、证书任一环节错了都会影响结果。实际项目里可以开发用 whistle，非技术同学继续用图形化抓包工具。HTTPS 抓包为什么经常看不到响应内容？最常见原因是没有安装或信任 whistle 的 HTTPS 根证书，浏览器只把请求当作加密隧道转发。第二个坑是 App 做了证书锁定，即使系统信任根证书也会拒绝中间人证书。还有一种情况是代理只配到浏览器，没有配到手机、模拟器或命令行进程。排查时先用普通 HTTPS 页面验证证书链，再调试目标 App。用 whistle Mock 接口有什么边界？Mock 适合验证前端分支、异常态和字段兼容，比如空列表、权限不足、接口超时。它不能证明真实接口契约完全正确，因为 Mock 数据很容易落后于后端变化。踩坑最多的是只 Mock 成功响应，结果上线后 401、429、500 分支没人处理。比较稳的做法是把常见错误码也做成规则，联调结束后再回真实环境验证一次。移动端调试时需要注意什么？手机代理地址要填电脑局域网 IP，不能填 127.0.0.1。如果公司网络有隔离策略，手机可能连不到电脑的 8899 端口，这时要换热点或确认防火墙放行。HTTPS 调试还要在手机上安装并信任证书，iOS 需要额外开启完全信任。调完后记得关闭手机代理，否则离开办公网络后会出现网页都打不开的假故障，也会误导后续排查。

Whistle 做数据模拟，最常见的目标不是“造一份假数据”这么简单，而是让前端在后端未完成、接口异常、网络慢、登录态变化时都能继续开发。选方法时可以先问一句：这个响应是固定的，还是要根据参数、请求头、登录状态动态变化？固定数据用 resBody 和 Values 更省事，动态逻辑再上 resScript 或插件。固定响应用 resBody如果只是让某个接口返回一段稳定 JSON，resBody 是成本最低的方式。它适合登录信息、配置开关、列表空态、错误码等场景。为了可维护，不建议把很长的 JSON 直接写在规则行里，最好放到 Values 文件中。# 简短响应可以直接写api.example.com/api/ping resBody://{"code":0,"data":"pong"}# 复杂响应引用 Valuesapi.example.com/api/user resBody://{mock-user.json}{ "code": 0, "data": { "id": 1001, "name": "测试用户", "roles": ["admin"], "vip": true }}动态响应用 resScript当响应需要读取 query、body、cookie，或者要模拟分页、随机失败、延迟时，resScript 更合适。脚本里应该显式设置 Content-Type，并处理缺省参数，否则前端拿到的响应可能和真实接口差异太大。module.exports = function(req, res) { const page = Number(req.query.page || 1); const size = Number(req.query.size || 10); res.setHeader('Content-Type', 'application/json'); res.end(JSON.stringify({ code: 0, data: { list: Array.from({ length: size }, (_, i) => ({ id: (page - 1) * size + i + 1, title: `mock item ${i + 1}` })), page, total: 86 } }));};api.example.com/api/list resScript://{mock-list.js}异常和慢接口也要模拟只模拟成功态是不够的，真实联调里更容易出问题的是超时、空列表、权限失败、字段缺失。可以准备几套 mock：success、empty、error、timeout，让前端页面在这些状态下都跑一遍。这样做比等后端临时改数据稳定，也更容易在评审前发现边界问题。module.exports = function(req, res) { const type = req.query.type || 'success'; res.setHeader('Content-Type', 'application/json'); if (type === 'timeout') { return setTimeout(() => res.end(JSON.stringify({ code: 0, data: [] })), 3000); } if (type === 'error') { res.statusCode = 500; return res.end(JSON.stringify({ code: 500, message: 'mock server error' })); } res.end(JSON.stringify({ code: 0, data: [{ id: 1, name: 'ok' }] }));};多人协作时怎么放 mock 数据？团队共用 mock 不要散落在每个人的 Whistle 面板里，建议放进仓库并按业务目录组织。规则文件可以只写入口，mock 文件按接口域名或业务模块归档，例如 mock/user/profile.json、mock/order/list.js。这样评审时能直接看到字段变化，也方便后端一起确认返回结构。公共 mock 还可以配一份变更记录，说明字段新增、删除和默认值变化，避免旧页面继续依赖已经废弃的字段。规则文件只保留入口，具体 JSON 和脚本放在 mock/user、mock/order 之类的目录。每个 mock 文件最好说明对应接口、字段含义和适用场景，避免后端字段变了而 mock 还在误导前端。对于登录、权限、金额这类敏感链路，还要保留一份失败态样例，否则页面只在成功路径上好看，真实联调时很容易暴露遗漏。追问resBody 和 Values 应该怎么选？短小、一次性的响应可以直接写 resBody，超过几行的 JSON 建议放 Values。取舍是内联写法最快，但可读性和复用性很差。边界是包含数组、嵌套对象或多人复用的数据，基本都应该拆成文件。踩坑是 JSON 里引号转义写错，规则看似保存成功，实际响应格式已经坏了。什么时候必须用 resScript？只要响应依赖请求参数、分页、登录态、时间或随机异常，就应该考虑 resScript。取舍是脚本更灵活，但也更像一段小服务，需要处理异常和维护逻辑。边界是不要在脚本里实现完整后端业务，否则 mock 会变成另一套难维护系统。踩坑是脚本返回字段和真实接口越来越不一致，前端在 mock 下正常，上测试环境马上报错。要不要模拟失败和超时？要，尤其是移动端弱网、权限过期、空数据这些用户很容易遇到的状态。取舍是多准备几套 mock 会增加工作量，但能提前发现 loading、重试、错误提示是否合理。边界是不要为了覆盖所有理论错误码而无限膨胀，优先模拟产品真的会展示差异的状态。踩坑是只测成功响应，结果接口 500 时页面白屏，直到上线前才发现。mock 数据应该由前端还是后端维护？初期可以由前端维护，因为前端最需要快速推进页面；接口稳定后最好和后端一起确认字段。取舍是前端维护速度快，后端确认准确性高。边界是涉及金额、权限、状态机的字段不能凭感觉编，必须和接口文档对齐。踩坑是 mock 里的枚举值写成了前端自创格式，后端真实返回后所有判断都失效。复杂模拟要不要做成插件？如果只是几个接口，resScript 已经够用；如果要统一管理大量场景、提供 UI 切换、记录请求，插件会更合适。取舍是插件体验更完整，但开发和发布成本更高。边界是团队复用、长期维护、需要状态管理时才值得插件化。踩坑是把简单 mock 过早做成插件，最后每次改一个字段都要发版，反而拖慢联调。

开发 Whistle 插件时，先别急着写复杂的拦截逻辑。一个好插件至少要回答三件事：它提供什么协议或规则能力，配置从哪里来，出错时怎样不影响正常代理。插件适合做团队可复用的能力，比如统一鉴权头、动态 mock、请求审计、环境面板；如果只是临时改一个接口，用普通 rules 和 values 更轻。插件项目应该长什么样？Whistle 插件本质上是一个 npm 包，包名通常使用 whistle.xxx 或团队约定的插件名。最小结构包括 package.json、入口文件、可选的 rules、values、README。入口文件负责注册服务逻辑，配置文件负责描述插件名称、菜单、规则等元信息。mkdir whistle.demo-helpercd whistle.demo-helpernpm init -ymkdir lib testtouch index.js README.md{ "name": "whistle.demo-helper", "version": "0.1.0", "main": "index.js", "whistleConfig": { "name": "demo-helper", "description": "team debug helper" }}入口逻辑怎么写？插件入口不要把所有事情都塞进一个巨大函数。建议把路由、配置读取、数据生成、错误处理拆开，入口只做组装。请求处理时要注意异步错误，任何未捕获异常都可能让调试体验变得很差。module.exports = function(server, options) { server.get('/cgi-bin/ping', function(req, res) { res.json({ ok: true, name: 'demo-helper' }); }); server.on('request', function(req) { req.headers['x-debug-from'] = 'whistle-plugin'; });};这个例子只演示结构，真实项目里还应该把 header 名称、开关和目标域名做成配置，而不是写死。插件越通用，越要减少默认侵入性，让使用者通过规则明确启用。在规则里如何启用插件？安装本地插件可以用 npm link 或 Whistle 的安装命令。这里要先约定插件名称和规则写法，否则同一个插件在不同同学机器上可能出现“装了但没命中”的情况。建议 README 里放一条最小可验证规则，再配一个 /cgi-bin/ping 检查入口，避免把安装问题误判成业务代理问题。调试阶段推荐本地链接，发给团队使用前再发布到私有 npm 或写清楚安装方式。规则里通过 plugin:// 或插件提供的协议启用，具体取决于插件能力设计。npm linkw2 install demo-helperw2 restart# 只对指定接口启用插件，避免全局污染api.example.com/api/order plugin://demo-helper插件里常见能力怎么拆？如果是动态 mock，建议把数据模板、参数解析、延迟和错误比例拆成独立模块。目录上可以保留 lib/mock、lib/config、lib/routes 这类清晰边界，让入口文件只负责装配。这样后续增加新接口时，不会把所有逻辑都堆进 index.js。如果是请求审计，建议只记录必要字段，例如 URL、方法、状态码、耗时，不要默认落敏感 header 和 body。如果是团队面板，可以提供 /cgi-bin/* 接口给前端页面读取配置，但要避免无鉴权暴露内部信息。追问什么时候该写插件，什么时候只写规则？一次性的 host、mock、header 修改用规则更合适，写插件反而增加维护成本。取舍在于插件能复用、可封装复杂逻辑，但发布、版本和兼容性都要有人负责。边界可以这样定：需要参数化、多人复用、包含 UI 或复杂状态时再考虑插件。踩坑是为了一个临时接口写插件，最后没人维护，Whistle 升级后还会拖累团队环境。插件默认要不要全局生效？通常不要，默认全局生效很容易误伤无关请求。取舍是全局生效配置简单，但排查问题时很难判断某个 header 或响应是不是插件改的。边界是审计、日志类插件可以全局观察，但修改请求或响应的逻辑最好通过规则显式启用。踩坑是插件给所有请求加了测试 header，结果第三方接口因为非法 header 拒绝访问。插件配置应该放在哪里？稳定默认值可以放 package.json 或代码常量，团队可变配置建议放 rules、values 或单独配置文件。取舍是代码内置最可靠，但每次调整都要发版；外部配置灵活，但需要校验和文档。边界是密钥、token、生产 Cookie 不应该进入插件包。踩坑是插件读取不到配置时静默使用默认生产域名，调试请求被转到了错误环境。插件如何处理错误才安全？插件内部要捕获异步错误，并给出可观察的日志或降级响应。取舍是直接抛错能尽快暴露问题，但会影响代理链路；降级更稳，但不能把错误吞得毫无痕迹。边界是 mock 类插件可以返回明确错误，审计类插件失败时应尽量不阻塞原请求。踩坑是读文件、查数据库这类操作用同步阻塞方式写在请求路径里，流量一大 Whistle 控制台也会变卡。本地插件怎么给团队使用？开发阶段用 npm link 最快，团队使用建议发布到私有 npm，并固定版本号。取舍是本地链接便于调试，但每个人机器状态不同；包管理方式更稳定，但需要发版流程。边界是不要让团队依赖某个同学电脑上的本地路径。踩坑是 README 只写了安装命令，没有写规则示例和验证方法，新同学装完也不知道插件是否生效。

用 Whistle 调试移动端应用，本质是让手机的 HTTP/HTTPS 流量先经过电脑上的 Whistle，再由 Whistle 转发到真实服务或 mock 服务。步骤不难，难点通常在三处：手机连不到电脑代理、HTTPS 证书没被系统信任、App 自己做了证书绑定。只要按顺序排查，移动端抓包和改包会稳定很多。先确认电脑端 Whistle 可访问电脑上启动 Whistle，默认端口是 8899。如果团队里端口有冲突，可以显式指定端口，但手机代理里也要填同一个端口。启动后先在电脑浏览器打开 http://127.0.0.1:8899/，确认控制台能进入。w2 start -p 8899w2 status# macOS 查看局域网 IPipconfig getifaddr en0# Windows 查看 IPv4ipconfig手机和电脑必须在同一个网络里，常见地址类似 192.168.1.23 或 10.0.0.8。如果公司 Wi-Fi 开了客户端隔离，手机即使和电脑连同一个热点，也可能访问不到电脑端口，这时可以换个人热点或使用 USB/模拟器方案。手机代理怎么配？iOS 进入当前 Wi-Fi 的详情页，在 HTTP 代理里选择“手动”，服务器填电脑局域网 IP，端口填 8899。Android 一般在 Wi-Fi 的“修改网络”或“代理”设置里填写同样的信息，不同厂商入口会有差异。配置完成后，用手机浏览器访问 http://电脑IP:8899/，能打开 Whistle 页面才说明链路通了。如果手机访问不了，先不要急着改规则。检查电脑防火墙、VPN、公司安全软件、端口是否监听在正确网卡上。也可以在电脑上临时换端口启动，例如 w2 start -p 8888，排除端口被占用的问题。HTTPS 证书怎么安装？HTTP 请求能看到不代表 HTTPS 能解密。要查看 HTTPS 内容，需要在手机上安装并信任 Whistle RootCA。手机访问 http://电脑IP:8899/，进入 HTTPS 页面下载证书；iOS 安装描述文件后，还要到“关于本机 - 证书信任设置”里开启完全信任；Android 则需要安装为用户证书，部分高版本系统对 App 信任用户证书有限制。# 移动端调试常用规则示例api.example.com/api/user resBody://{mobile-user.json}m.example.com reqHeaders://{mobile-headers.json}app.example.com/api/* host 192.168.1.23:3000如何验证规则真的生效？先用手机浏览器访问一个简单接口，看 Whistle 的 Network 面板是否出现请求。再加一条低风险的响应头或 mock 规则，确认响应确实被改写。不要一开始就调试复杂 App，否则你很难判断问题出在代理、证书、规则还是 App 网络库。{ "code": 0, "data": { "from": "whistle-mobile", "login": true }}追问手机访问不了 Whistle 控制台怎么办？先确认手机和电脑在同一网段，再检查电脑防火墙是否拦截了 8899 端口。取舍上，关闭防火墙排查最快，但长期使用应该只放行 Whistle 端口而不是全关。边界是公司网络可能禁止设备互访，这种情况下继续改 Whistle 规则没有意义。常见踩坑是电脑开着 VPN，手机填的却是局域网不可达的虚拟网卡地址。为什么 HTTPS 证书装了还是看不到内容？可能是证书没有被完全信任，也可能是 App 不信任用户安装的根证书。取舍是浏览器调试成本最低，但真实 App 尤其是金融、支付类应用更可能做证书绑定。边界是 Whistle 不能绕过所有安全策略，遇到 certificate pinning 需要换调试包、关闭 pinning 或使用专门的测试构建。踩坑是只安装了证书文件，却忘了在 iOS 里开启“完全信任”。Android 能不能不用 Wi-Fi 代理？可以在部分场景下用模拟器代理，或通过 ADB 做端口转发，但真实设备的系统代理仍然最直观。取舍是 Wi-Fi 代理配置简单，ADB 方案更适合本地开发机和模拟器联调。边界在于 adb reverse tcp:8899 tcp:8899 只能解决一部分访问方向问题，不等于所有 App 流量都会自动进 Whistle。踩坑是以为 USB 连上就能抓包，结果 App 仍然走移动网络或直连。某些 App 请求完全不出现是什么原因？可能是 App 没走系统代理、用了私有网络库、开启了 QUIC，或者请求走了 WebSocket/长连接。取舍是系统代理对 H5 和普通 HTTP 客户端很友好，但对强安全原生 App 不一定够用。边界是生产包的网络安全策略通常更严格，调试时最好使用测试包。踩坑是只盯着 HTTPS 证书，忽略了 App 可能根本没有把流量发到代理。调试结束后需要恢复哪些设置？至少要关闭手机 Wi-Fi 代理，必要时删除或停用 Whistle 证书，并停止本机 Whistle 服务。取舍是保留代理下次调试更省事，但日常使用容易导致网络变慢或访问失败。边界是公共网络和非调试场景不要长期挂代理。踩坑是下班后手机还连着电脑代理，第二天电脑没开，手机所有网页都打不开。

Whistle 的规则管理不要只理解成“谁在网页里改几行配置”。个人调试时，Web 界面足够快；团队协作时，真正麻烦的是规则来源、环境切换、命名规范和回滚机制。如果这些没有约定，今天 A 同学为了联调把接口代理到本地，明天 B 同学拉到同一份规则后就可能误连错环境。规则应该放在哪里管理？日常临时调试可以直接打开 http://127.0.0.1:8899/，在 Rules 面板里写规则并保存，适合验证某个接口、替换一个静态资源、临时 mock 一段响应。它的好处是所见即所得，Network 面板马上能看到命中情况；缺点是改动容易散落在个人机器上，别人不知道你改了什么。团队长期使用时，建议把公共规则放到 Git 仓库，个人规则留在本地。公共规则只放稳定的域名代理、公共 mock、跨域头、常用环境入口；个人规则放本地端口、临时调试、风险较高的 host 覆盖。这样既能共享经验，也不会把每个人电脑上的实验配置带给全组。# 常用启动与检查w2 start -p 8899w2 statusw2 restartw2 stop# 如果需要指定规则文件启动w2 start -f ./rules-dev规则文件怎么组织更适合协作？一份可维护的规则文件，应该先按业务或环境分组，再按命中范围从小到大排列。更具体的路径规则放在前面，宽泛的通配符和正则放在后面，否则容易出现“看起来写了规则，但一直没命中”的问题。注释不要写成流水账，最好说明这条规则解决什么问题、谁在使用、什么时候可以删除。# user-service: 本地联调用户接口，owner: frontend-userwww.example.com/api/user host 127.0.0.1:3001# mobile-h5: 移动端静态资源走测试 CDNm.example.com/static/* host test-cdn.example.com# mock: 登录态过期响应，仅用于异常状态验证www.example.com/api/session resBody://{session-expired.json}团队共享时推荐什么流程？比较稳妥的方式是建一个 whistle-rules 仓库，把 rules-dev、rules-test、values、README.md 放进去。新同学克隆仓库后，用软链接或启动参数指向对应规则文件；改公共规则时走 Pull Request，至少让相关业务同学看一眼。不要直接让所有人共用同一个可写文件，否则一次错误保存就会影响整组。git clone git@example.com:team/whistle-rules.git ~/whistle-rulesln -sf ~/whistle-rules/rules-dev ~/.whistle/rulesw2 restartValues 和环境变量怎么配合？Values 适合放可复用的 mock 数据和变量，例如本地域名、端口、通用响应体。环境差异很大的内容不要硬塞进一份文件，可以拆成 values-dev.json、values-test.json，再通过文档说明切换方式。敏感 token、Cookie、内网账号不要提交到仓库，最多提供字段模板。{ "localApi": "127.0.0.1:3001", "corsHeaders": { "access-control-allow-origin": "*", "access-control-allow-credentials": "true" }}追问公共规则和个人规则怎么划分？公共规则放团队都需要、行为稳定、风险可控的配置，个人规则放本地端口、临时 mock 和实验性代理。取舍点在于共享越多，上手越快，但误伤范围也越大。边界可以定得很明确：会影响真实登录、支付、下单、生产域名的规则，默认不进公共文件。常见踩坑是把自己本地 127.0.0.1 的代理提交上去，别人一拉规则接口就全挂。规则顺序冲突时怎么排查？先在 Network 里看请求是否命中预期规则，再把精确路径放到通配符前面，必要时临时注释掉宽泛规则验证。取舍是规则写得越通用越省事，但排查时越难判断谁覆盖了谁。边界上，不建议用一个 *.example.com * 之类的大范围规则解决所有问题。踩坑最多的是正则和通配符混用后，以为后面的精确规则会覆盖前面的宽泛规则。要不要把 whistle 规则纳入代码评审？如果规则会影响多人联调，就应该评审，至少确认域名、路径、mock 数据和删除时间。取舍是评审会增加一点流程成本，但能减少半天都查不出的代理误配。边界可以放宽在个人规则和临时验证上，这类不需要走 PR。踩坑是没有 owner 的规则越积越多，半年后没人敢删，最后变成第二套隐形环境配置。多环境切换用复制文件还是启动参数？少量环境可以复制文件后 w2 restart，但团队协作更推荐保留多个规则文件，用启动参数或软链接切换。取舍在于复制文件直观，启动参数更可追溯。边界是不要在同一份规则里同时启用 dev、test、prod 三套代理，除非你能保证域名完全隔离。踩坑是切完环境忘记重启 whistle，或者浏览器缓存让你误以为规则没生效。规则里能不能放敏感信息？不建议放，尤其是 Cookie、Authorization、内部账号和生产 token。取舍是写进去调试最快，但一旦提交仓库或截图分享，泄露成本很高。边界是公共仓库只允许放示例值和字段结构，真实值放个人本地 Values 或环境变量。踩坑是 mock 登录态时顺手贴了真实 Cookie，后来被多人复用，排查权限问题会非常混乱。

whistle 的脚本能力适合处理规则表达不了的逻辑，比如按请求参数动态改 header、根据用户身份返回不同 mock、给响应体追加字段，或者把线上接口临时改造成前端需要的数据形状。规则更像声明式配置，脚本则是命令式处理；能用规则解决的别急着写脚本，因为脚本越多，调试成本和副作用也越高。它的边界也很明确：脚本运行在代理链路里，任何慢逻辑都会拖慢请求，任何不严谨的匹配都可能影响无关流量。先准备一个本地脚本文件，例如 change-user.js：module.exports = (req, res) => { req.headers['x-debug-user'] = '10001';};在 Rules 中绑定到目标接口：https://api.example.com/user reqScript:///Users/me/whistle/change-user.js响应处理通常用于 mock 或修正字段，示例只处理 JSON，避免误伤图片、HTML 或二进制内容：module.exports = (req, res) => { const type = res.headers['content-type'] || ''; if (!type.includes('application/json')) return; const data = JSON.parse(res.body || '{}'); data.debug = true; res.body = JSON.stringify(data);};脚本最好和规则一起放进项目的调试目录，文件名说明用途，例如 mock-login-expired.js、add-debug-header.js。团队协作时要写清楚启用条件，不要让别人打开 whistle 后默认命中你的个人调试逻辑。追问reqScript 和 resScript 应该怎么选？需要在请求发出前改 URL、header、cookie 或 body，就用 reqScript；需要在服务端返回后改状态码、响应头或响应体，就用 resScript。取舍点在于问题发生的位置：鉴权参数错了通常改请求，接口字段不满足前端联调通常改响应。踩坑最多的是在 resScript 里试图修正已经发出去的请求参数，这时后端早就处理完了。判断不清时先在 Network 里看请求和响应，确认要动哪一侧。脚本里处理 JSON 响应要注意什么？第一步永远是判断 content-type，不要默认所有响应都是 JSON。边界包括空响应、压缩响应、流式响应、图片和下载文件，这些内容被强行 JSON.parse 很容易报错或损坏。更稳的写法是只匹配明确接口，并对解析失败做兜底，不要让一个异常中断整个代理处理。调试阶段可以打印 URL 和错误信息，但长期使用要减少日志，避免控制台被刷屏。为什么不建议所有 mock 都用脚本写？脚本很灵活，但灵活也意味着行为不够直观。简单固定响应用 resBody 或 Values 更容易维护，复杂条件分支、按参数返回不同数据时再上脚本。取舍标准是“别人打开规则能不能一眼看懂”，如果必须读几十行 JS 才知道接口返回什么，维护成本就偏高。常见坑是脚本越写越像小服务，最后不如直接起一个本地 mock server。脚本影响了无关请求怎么办？先收窄 Rules 匹配范围，不要用过宽的域名或通配符挂脚本。脚本内部也可以二次判断路径、方法和参数，条件不满足立刻 return。边界是代理层没有业务上下文，不能只凭一个字段就假设请求属于某个页面。排查时先禁用脚本确认问题消失，再逐步恢复匹配条件和处理逻辑。团队里怎么管理这些调试脚本？建议把通用脚本放进仓库的 debug/whistle 目录，只提交脱敏、可复用的版本，个人临时脚本放在本机不共享。配置里不要写真实 token、内网账号或客户数据，必要时用环境变量或本地 Values 注入。取舍是共享脚本能提升联调效率，但也可能把个人调试假设扩散给全团队。每个脚本顶部写两三行用途、命中接口和关闭方式，比事后在群里解释更省时间。