支付宝小程序 静态扫描评测规范
1. 禁用未声明的变量
此规则可帮助你定位由变量漏写、参数名漏写和意外的隐式全局变量声明所导致的潜在引用错误(比如,在 for 循环语句中初始化变量忘写 var 关键字)。
2. 在 in instanceof 两种关系操作符 左侧表达式,不要用否定判断,运算符优先级
检查因运算符优先级错误引起的问题,禁止对关系运算符的左操作数使用否定操作符。比如 !(key in object) 错写成 !key in object 来判断 Key 值是否在对象中。类似的代码还有 !obj instanceof Ctor。
3. 不可跨分包访问资源
分包内不可以引用其他分包的资源,如图片/js 等。
4. 组件绑定了未定义的事件函数
检查 axml 内的视图组件是否绑定了未在 js 中定义的事件处理函数。
5. acss 样式不支持属性选择器
样式文件 acss 中不支持属性选择器,例如: input[type="button"]{...}、[title=Story]{}。
6. acss 内本地资源引用不支持相对路径
acss 文件里的本地资源引用请使用绝对路径的方式,不支持相对路径引用。
7. key 不能设置在 block 上
key 不能设置在 block 上。
示例:不支持 <block key={{...}}></block>。
8. 不应直接调用 APP 生命周期函数
通过 getApp() 获取实例后,请勿私自调用生命周期回调函数。
9. 数据绑定双大括号检查
数据绑定使用 Mustache 语法将遍量用两队大括号({{}})封装,组件属性需要用双引号封装。
10. Boolean 类型关键字需要引号/双大括号封装
boolean 类型关键字,需要用引号,双括号封装,当成对象处理。
11. App() 内不可调用 getApp()
App() 函数中不可以调用 getApp(),可使用 this 可以获取当前小程序实例。
12. 禁止把保留字用作模块名
禁止把保留字用作模块名。
保留字有:globalThis、global、AlipayJSBridge、fetch、self、window、document、location、XMLHttpRequest。
13. 计时器未释放
检查是否有 setInterval 但是未 clearInterval 的场景。
14. 页面地址有效性
验证 my.navigateTo / my.redirectTo 等方法调用时,url 参数是否在 app.json 中有定义。
15. web-view 请求域名检查
页面中如果使用了 web-view 标签,但未配置 H5 域名。
16. 网络请求域名检查
页面中如果使用了 httpRequest 进行接口请求,但没有添加请求的链接,则请求会被拦截,也将导致小程序被驳回。
17. 白屏检测-页面组件为空
使用代码扫描手段进行白屏检测, 查找内容可能为空的 Page 避免小程序出现白屏, 影响体验。
18. 应使用 isNaN 进行 not-a-number 判断
在 JavaScript 中,NaN 是 Number 类型的一个特殊值。它被用来表示非数值,在 JavaScript 中 NaN 不等于任何值,包括它本身,因此,应使用 Number.isNaN() 或 全局的 isNaN() 函数来检测一个值是否是非数值。
19. JSAPI 调用权限检查
调用未授权的 JSAPI, 例如 my.getLocation, 可能引起程序异常。调用前,请确认已申请对应的 API 调用权限。
20. 不要在 finally 中使用部分控制流语句
JavaScript 会暂停 try 和 catch 语句块中的控制流语句,直到 finally 执行完毕,因此当 finally 中有 return、throw、break 和 continue 时, try 和 catch 语句块中的控制流语句将被覆盖,这可能会导致非预期的结果。
21. 可能无法执行到的逻辑
因为 return、throw、continue 和 break 语句无条件地退出代码块,其之后的任何语句都不会被执行。不可达语句通常是个错误。
22. 字符串模块语法有误,需要反引号
在创建包含变量或表达式的模版字符串时,很容易将 ` 错写为 `"` ,例如: `"${variable}"` ,正确的代码为${variable}``。
23. 检查正则表达式中,是否有连续的空格
正则表达式使用多个空格时,例如 var re = /first name/ ,很难直观的理解其中的空格数量,最好只使用指定数量的方式书写正则表达式,例如:var re = /first {2}name/ ;可以很清晰的理解为匹配 2 个空格。
24. 某些全局对象,不能被当做方法访问
ECMAScript 提供了几个全局对象,旨在直接调用。这些对象由于是大写的(比如 Math 和 JSON)看起来像是构造函数,但是如果你尝试像函数一样执行它们,将会抛出错误。
25. 正则表达式语法错误
在正则表达式字面量中无效的模式在代码解析时会引起 SyntaxError,但是 RegExp 的构造函数中无效的字符串只在代码执行时才会抛出 SyntaxError,因此禁止在 RegExp 构造函数中出现无效的正则表达式。
26. 可能存在覆盖的方法申明
JavaScript 函数有两种形式:函数声明 function foo() { ... } 或者函数表达式 var foo = function() { ... } 。虽然 JavaScript 解释器可以容忍对函数声明进行覆盖或重新赋值,但通常这是个错误或会导致问题出现。
27. 改写了 try catch 的异常值
在 try 语句中的 catch 子句中,如果意外地(或故意地)给异常参数赋值,是不可能引用那个位置的错误的。由于没有 arguments 对象提供额外的方式访问这个异常,对它进行赋值绝对是毁灭性的,因此,禁止对 catch 子句中的异常重新赋值。
28. 正则中有可能为空的字符条件
在正则表达式中空字符集不能匹配任何字符,因此,正则表达式中不应出现空字符集。
29. 对象中有重复的 key
在对象中,如果出现多个属性有同样的 key,可能会导致获取到非预期的属性值。
30. 方法中有重复参数
如果在一个函数定义中出现多个同名的参数,后面出现的会覆盖前面出现的参数,导致非预期的情况发生。
31. 正则中不能使用部分字符 ASCII range 0-31 control characters
在 ASCII 中,0-31 范围内的控制字符是特殊的、不可见的字符。这些字符很少被用在 JavaScript 字符串中,所以一个正则表达式如果包含这些字符的,很有可能一个错误。
32. 控制流条件可能有逻辑错误,成为一个静态的条件
将一个常量表达式/常量值作为一个条件表达式有可能是代码编写错误,不建议使用静态值作为条件。
33. 错误使用 = 作为条件判断
在条件语句中,很容易将一个比较运算符( ==)错写成赋值运算符( =),因此不建议在 if、for、while 和 do...while 使用复制运算符。
34. 不应设置 data 的子项为 undefined
请不要把 data 中任何一项的 value 设为 undefined ,否则这一项将不被设置并可能遗留一些潜在问题。
35. 不建议直接修改 this.data
直接修改 this.data,无法改变页面的状态,还会造成数据不一致的问题。
36. 废弃 API 调用检查
使用即将废弃或已废弃的接口,可能会导致小程序运行异常。一般情况下,废弃的接口不会立即移除,但保险起见,建议不要使用废弃的 API,以避免小程序后续突然运行异常。
更多建议: