2025年9月，JavaScript生态系统遭遇了有史以来最复杂、破坏性最强的供应链攻击之一。代号为"沙虫" (Shai-Hulud)的新型自复制蠕虫感染了超过477个npm软件包，成为npm注册表历史上首个成功实现自动化传播的攻击活动。

上下文绑定的困扰 箭头函数最显著的特点是不绑定自身的 this，而是继承外部作用域的 this 值。这在某些情况下可以简化代码，但在其他情况下却可能导致难以预料的错误。例如，在对象方法中，箭头函数无法正确绑定到对象的上下文，导致 this.data ...

在搭建这个网站的过程中，我遇到了以下奇怪的事情： console.log(new Date('2025/05/28').toDateString()); // Wed May 28 2025console.log(new Date ...

在Java的世界里，箭头函数因其简洁的语法和优雅的表现方式而受到开发者的广泛喜爱。然而，令人意外的是，许多大型科技公司，如Facebook，开始对箭头函数的使用进行限制。这一转变并非无缘无故，而是源于实际开发中的诸多经验教训。 首先，箭头函数最显著的特点是不绑定自己的this，而是继承外部作用域的this值。乍一看，这似乎是个优点，但在某些场景中却可能引发严重的bug。例如，考虑下面的代码： 在调 ...

网络安全公司Aikido披露了迄今最大规模的npm供应链攻击事件。攻击者通过钓鱼邮件获取维护者账户凭证，向18个热门JavaScript包注入恶意代码，这些包每周下载量超过26亿次。恶意代码专门劫持加密货币交易，监控浏览器API接口将资金转移至攻击者地址。受影响的包括chalk、debug等广泛使用的开发工具库。虽然攻击在5分钟内被发现并及时公开，但专家警告此类上游攻击极具破坏性，可能与朝鲜黑客组 ...