转载

V8 的 typeof null 返回 "undefined" 的 bug 是怎么回事

1997 年,IE 4.0 发布,带来的众多新特性中有一个对未来“影响深远”的 DOM API:document.all。在随后的 6 年里,IE 的市场占有率越来越高,直到 2003 年的 95%。

在这段时间里,产生了两种成千上万的页面。第一种:IE only 的页面,由于超高的市场占有率,开发人员觉得根本不需要考虑兼容性,于是直接使用 document.all,比如:

 document.all(foo).style.visibility = "visible" 

甚至很多网站直接在服务器端判断客户端的 UA,不是 IE 的直接返回一句话:“本站只支持 IE。。。”

第二种页面:开发人员使用 document.all 来识别 IE,只对 IE 展现特殊的效果:

 var isIE = !!document.all if (isIE) {   // 使用 IE 私有的 DOM API,私有 CSS 特性 } 

那个年代的 很多书也都在讲这种判断方法 ,直到现在,2016年,估计还有少数人这么写,国内出版的垃圾书估计也有可能从别处复制粘贴这样的代码。

由于第一种页面的大量存在,Opera 在 2002 年发布的 6.0 版本里 实现了 document.all ,这导致的结果就是,第一种 IE only 的页面有不少可以在 Opera 中正常浏览了,这是好消息,但坏消息是,第二种页面反而都报错了,!!document.all 是 true 了,Opera 被当成 IE 了,Opera 不可能支持 IE 所有的私有特性。当时有不少人给 Opera 反馈 bug ,开发人员表示无法修复。

这段时间里,为了抢占市场占有率,Mozilla 的人也在持续讨论要不要实现 document.all,bugzilla 上有很多历史帖子可查。最终,在 2004 年,JavaScript 之父 Brendan Eich 在 Firefox 0.10 预览版 里 实现了 document.all ,但有了 Opera 的前车之鉴,Brendan 在实现 document.all 的时候玩了个小技巧,那就是你可以正常的使用 document.all,但你无法检测到它的存在:

 > document.all + ""  "[object HTMLAllCollection]" > typeof document.all "undefined" > !!document.all false 

Brendan 取名为“undetected document.all”,但在当时很多人也发现了,document.all 并不是真的检测不到,比如:

 > document.all === undefined false > "all" in document true 

当时 Mozilla 的人也回复了:“这不是 bug,因为做这个改动是被迫的,而且这个改动是违反 ECMAScirpt 规范的,改动越小越好,in 和 === 就不去管了,毕竟极少数的人用 === 和 in 判断 document.all 存在与否”。现如今所有的浏览器都是这样的实现,HTML 5 规范里也是 这么规定的 。

那段时间 Safari 才刚刚起步,但也有收到来自用户的不支持 document.all 的 bug,2005 年底,Safari 学 Firefox, 实现了 undetectable document.all 。

2008 年,Opera 在 9.50 Beta 2 版本将自己直接暴露了多年的 document.all 也改成了 undetectable 的, 变更记录 里是这么写的:“Opera now cloaks document.all”。 Opera 的工程师当年还专门写了 一篇文章 讲了 document.all 在 Opera 里的变迁,还说到 document.all 绝对值得被展览进“Web 技术博物馆”。

2008 年底,Chrome 1.0 发布,Chrome 是基于 Webkit 和 V8 的,V8 当然得配合 Webkit 里的 document.all 的实现。

很戏剧性的是,在 2013 年,连 IE 自己(IE 11)也隐藏掉了 document.all,也就是说,所有现代浏览器里 document.all 都是个假值了。

在 V8 里的实现是:一个对象都可以被标记成 undetectable 的,很多年来只有 document.all 带有这个标记,这是相关的 代码片段和注释 :

 // Tells whether the instance is undetectable. // An undetectable object is a special class of JSObject: 'typeof' operator // returns undefined, ToBoolean returns false. Otherwise it behaves like // a normal JS object.  It is useful for implementing undetectable // document.all in Firefox & Safari. // See https://bugzilla.mozilla.org/show_bug.cgi?id=248549. inline void set_is_undetectable(); inline bool is_undetectable(); 

然后在 typeof 的实现 里,如果 typeof 的参数是 undefined 或者是 undetectable 的,就返回 "undefined":

 Handle<String> Object::TypeOf(Isolate* isolate, Handle<Object> object) {   if (object->IsNumber()) return isolate->factory()->number_string();   if (object->IsUndefined() || object->IsUndetectableObject()) {     return isolate->factory()->undefined_string();   }   if (object->IsBoolean()) return isolate->factory()->boolean_string();   if (object->IsString()) return isolate->factory()->string_string();   if (object->IsSymbol()) return isolate->factory()->symbol_string();   if (object->IsString()) return isolate->factory()->string_string(); #define SIMD128_TYPE(TYPE, Type, type, lane_count, lane_type) /   if (object->Is##Type()) return isolate->factory()->type##_string();   SIMD128_TYPES(SIMD128_TYPE) #undef SIMD128_TYPE   if (object->IsCallable()) return isolate->factory()->function_string();   return isolate->factory()->object_string(); }  

今年 2 月份,V8 做了一个改动,就是除了 document.all,要把 null 和 undefined 两个值也标记成 undetectable 的。当时,开发人员清楚的知道这个改动会让 typeof null 返回 "undefined",所以专门 改动了 typeof 的实现 ,并且添加了个 对应的测试文件 :

 assertFalse(typeof null == "undefined") 

看上去很完美,但其实这个改动产生了个 bug,这个 bug 后来流到了 50 和 51 的稳定版里。

在 4 月份,有人发现了 这个 bug ,提炼一下重现代码就是:

 for (let n = 0; n < 10000; n++) {   console.log(typeof null == "undefined") } 

Chrome 里执行结果如下:

V8 的 typeof null 返回 &quot;undefined&quot; 的 bug 是怎么回事

在 for 循环执行若干次后,typeof null 会从 "object" 变成 "undefined"。

我当时也关注了这个 bug,不到一周时间后就修复了。当时 master 分支是 Chrome 52,开发人员觉的 bug 影响不大(我的猜测),就没有合进当时的稳定版 Chrome 50 里。

其实这个 bug 产生的原因是:V8 还有个优化编译器(optimizing compiler),叫 crankshaft,当代码执行次数够多时,JavaScript 代码会被这个编译器重新编译执行。crankshaft 里有一个它单独使用的 typeof 实现,和普通编译器(full-codegen)用的不一样:

 String* TypeOfString(HConstant* constant, Isolate* isolate) {   Heap* heap = isolate->heap();   if (constant->HasNumberValue()) return heap->number_string();   if (constant->IsUndetectable()) return heap->undefined_string();   if (constant->HasStringValue()) return heap->string_string();   switch (constant->GetInstanceType()) {     case ODDBALL_TYPE: {       Unique<Object> unique = constant->GetUnique();       if (unique.IsKnownGlobal(heap->true_value()) ||           unique.IsKnownGlobal(heap->false_value())) {         return heap->boolean_string();       }       if (unique.IsKnownGlobal(heap->null_value())) {         return heap->object_string();       }       DCHECK(unique.IsKnownGlobal(heap->undefined_value()));       return heap->undefined_string();     }     case SYMBOL_TYPE:       return heap->symbol_string();     case SIMD128_VALUE_TYPE: {       Unique<Map> map = constant->ObjectMap(); #define SIMD128_TYPE(TYPE, Type, type, lane_count, lane_type) /   if (map.IsKnownGlobal(heap->type##_map())) {                /     return heap->type##_string();                             /   }       SIMD128_TYPES(SIMD128_TYPE) #undef SIMD128_TYPE       UNREACHABLE();       return nullptr;     }     default:       if (constant->IsCallable()) return heap->function_string();       return heap->object_string();   } } 

那次改动开发人员漏改了这个 typeof 实现,导致了上面的 bug,修复很简单,就是把 标红的那句判断挪下面 ,同时修 bug 的人专门新增了个 测试文件 ,里面 %OptimizeFunctionOnNextCall() 是个特殊函数,可以让某个函数直接被编译进 crankshaft 里执行。

6 月 8 号,那个 bug 里又有人反馈,说他们的系统因为这个 bug 无法运行了,问什么时候修复代码能合进稳定版里,当时没有相关人员回复。

6 月 20 号,有人在 reddit 上 公开了这个 bug ,被人多次转到 twitter 上,那个 bug 下面又有了更多人的回复。

Chrome 的开发人员意识到问题有点严重了,于是将先前的 commit cherry-pick 进了 Chrome 51 里,Node 也 进行了同样的操作 。

在这之后,又有三个不知道这个 bug 已经修复了的人报了重复的 bug, issue 621887 , issue 622628 , issue 5146 。

PS,V8 未来会淘汰 Full-codegen/Crankshaft,使用新的 Ignition(解释器) + Turbofan(编译器) 架构,在 Chrome 50 或者 51 里打开 chrome://flags/#enable-ignition 选项,就会发现 bug 无法重现了。

原文  http://www.cnblogs.com/ziyunfei/p/5618152.html
正文到此结束
Loading...