一、WebPack 打包器

（一）使用原因

WebPack 能解决传统前端开发中 JS 依赖顺序混乱 的问题，还具备以下核心优势：

• 模块化支持：将代码拆分为模块，提升可维护性与复用性。
• 资源打包：把 JS、CSS、图片等资源整合成静态文件，减少网络请求。
• 代码分割：按需加载代码块，加快初始页面加载速度。
• 资源优化：压缩代码、处理预处理器、优化图像等。
• 开发环境支持：提供热模块替换、源代码映射等功能，提升开发效率。

（二）使用步骤

1. 准备需打包文件

• 目录结构：创建 src​ 目录，内含 js​ 子目录（放 sum.js​、count.js​）和 main.js​（入口文件）。

  • ​sum.js​：

    export default function sum(x, y) {
      return x + y;
    }
    

  • ​count.js​：

    export default function count(x, y) {
      return x - y;
    }
    

  • ​main.js​：

    import count from "./js/count";
    import sum from "./js/sum";
    
    console.log(sum(1, 2));
    console.log(count(1, 2));
    

• 同级创建 index.html​，用于引入打包后的文件：

  <!DOCTYPE html>
  <html lang="en">
  <head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
  </head>
  <body>
    <script src="main.js"></script>
  </body>
  </html>
  

2. 安装 WebPack 库

执行命令：npm i webpack webpack-cli -g​，全局安装 WebPack 及命令行工具。

3. 创建 WebPack 配置文件

在项目根目录创建 webpack.config.js​（文件名固定），配置如下：

const path = require('path');

module.exports = {
  // 入口文件
  entry: './src/main.js',
  output: {
    // 输出路径
    path: path.resolve(__dirname, 'dist'),
    // 输出文件名
    filename: 'bundle.js',
    // 每次构建前清理输出目录
    clean: true,
  },
  // 打包模式：development（开发，易源码泄露）或 production（生产，代码优化）
  mode: "development"
};

4. 运行打包命令

执行 npx webpack​，打包成功后，在 index.html​ 中引用打包好的 ./dist/bundle.js​：

<body>
  <script src="./dist/bundle.js"></script>
</body>

（三）安全问题

1. 源码泄漏风险

• ​development​ 模式：会启用开发工具，易导致源码泄露。
• ​production​ 模式：会进行代码优化，代码极简化，相对安全。

2. 模糊提取安全检查：PackerFuzzer

• 工具地址：Packer-Fuzzer
• 功能：自动模糊提取目标站点的 API 及参数，检测未授权访问、敏感信息泄露、CORS、SQL 注入等七大漏洞，支持生成多格式扫描报告。
• 背景：WebPack 打包的 JS 文件数量多、代码量大，手工测试不便，该工具可提升测试效率。

二、第三方库：jQuery

（一）使用

jQuery 是快速简洁的 JavaScript 框架，封装常用功能，优化 HTML 操作、事件处理等。

• 引用路径示例：jQuery 引用。

（二）安全问题

• 版本漏洞：如 3.4.1 版本存在 XSS 植入风险，3.5.1 版本修复。
• 检测工具：jQuery 漏洞检测，可测试 CVE-2020-11022、CVE-2020-11023 等漏洞。