2021-03-23のJS: Node.js 15.12.0(fs.promisesのパフォーマンス改善)、strict CSP、CSS Auditing Tools

[azu]

Node.js 15.12.0がリリースされました。

• Node v15.12.0 (Current) | Node.js

fsのreadFile/writeFileに対してPromise版のfs.promisesのreadFile/writeFileが遅くなるというIssueがあります。

• fs.promises.readFile is 40% slower than fs.readFile · Issue #37583 · nodejs/node

Node.js 15.12.0ではこのパフォーマンス問題の改善が含まれています。

• fs: improve fsPromises readFile performance by Linkgoron · Pull Request #37608 · nodejs/node
• fs: improve fsPromises writeFile performance by Linkgoron · Pull Request #37610 · nodejs/node
  • writeに関してはコールバック版とほぼ同等になっている

その他にはcrypto.create{Public,Private}KeyがJWKオブジェクトをサポート、AbortSignal.abort()の実装、workerモジュールに{get,set}EnvironmentDataが追加されています。

---

Mitigate cross-site scripting (XSS) with a strict Content Security Policy (CSP)という記事では、Content Security Policy (CSP)を使ったXSSの影響を軽減するアプローチについて書かれています。

CSPには、特定のURLを許可リスト方式で扱う設定がありますが、許可したURLにJSONPなどのエンドポイントがあるとバイパスされる問題が知られています。

• CSP Is Dead, Long Live Strict CSP! - DeepSec 2016 - Speaker Deck
• Content Security Policy: A successful mess between hardening and mitigation - Speaker Deck

そのため、nonceベースかhashベースのstrictなCSP設定をすることで、CSPがバイパスされる可能性は低くなります。
この記事では、nonceベースとhashベースのstrict CSP設定をどのようにするかについて書かれています。

---

CSS Auditing Tools — Smashing Magazineという記事では、CSSのAuditツールについてまとめられています。

• CSS Stats
• Yellow Lab Tools - Page Speed audit
• Specificity Visualizer
• CSS Analytics - Project Wallace
• katiefenn/parker: Stylesheet analysis tool.
• Chrome DevTools
  • CSS Overview Panel - Chrome DevTools - Dev Tips
  • Find Unused JavaScript And CSS Code With The Coverage Tab In Chrome DevTools

それぞれのツールの紹介やどのような項目を調べられるのかについてまとめられています。