止事件流:

event.stopPropagation(); //主流瀏覽器

window.event.cancelBubble=true; // IE(678)瀏覽器

冒泡型、捕捉型都可以進行阻止,為了阻止比較有意義，只考慮冒泡型。

阻止瀏覽器默認動作:

瀏覽器默認動作, 注冊form表單頁面, 提交表單的時候, 瀏覽器的頁面會根據action屬性值進行跳轉, 這個動作稱為"瀏覽器默認動作"。

event.preventDefault(); //主流瀏覽器

event.returnValue=false; //IE(678)瀏覽器

return false; //dom1級事件設置起作用 事件處理過程中, 阻止了事件冒泡, 也阻止了默認行為

我們開發系統的時候，可能會接到這樣的需求：不要讓用戶復制頁面上的文字或者圖片，不要讓用戶調試我們的頁面，更甚至也不要讓用戶進行打印操作等等。

聽起來是不是讓人很頭大，這咋實現啊？這有必要嗎？這能禁住么？

如果你沒做過這些，或者沒接到過這樣的需求，那你也應該看到過某個網站做了一些這樣的措施。

既然要做，我們就得想方案，先來看看禁止復制都有哪些方法。

禁止復制

假設我們有這樣一段代碼：

<div style="padding-left: 56px;">
  <textarea rows="5" cols="33"></textarea>
</div>
<pre>
  海客談瀛洲，煙濤微茫信難求，

  越人語天姥，云霞明滅或可睹。

  天姥連天向天橫，勢拔五岳掩赤城。

  天臺四萬八千丈，對此欲倒東南傾。

  我欲因之夢吳越，一夜飛度鏡湖月。

  湖月照我影，送我至剡溪。
  </pre>

接下來就通過這個例子來論述我們的方案：

1. 通過user-select:none

這是一個css屬性，標識了元素及其子元素的文本不可被選中，因此設定之后，文本將不能夠被選中，因此也就不能復制：

<pre style="user-select: none;">
  海客談瀛洲，煙濤微茫信難求，

  越人語天姥，云霞明滅或可睹。

  天姥連天向天橫，勢拔五岳掩赤城。

  天臺四萬八千丈，對此欲倒東南傾。

  我欲因之夢吳越，一夜飛度鏡湖月。

  湖月照我影，送我至剡溪。
  </pre>

我們在這段文本上，加上這個樣式。

可以看到，文字壓根就不能選擇，從鼠標形狀也能看出來。

2. 通過攔截copy操作

由于用在進行復制操作的時候，會觸發copy事件，我們可以通過監聽它來做一些處理，使得復制的行為發生改變：

<div>
  <div style="padding-left: 56px;">
    <textarea rows="5" cols="33"></textarea>
  </div>
  <pre id="content">
    海客談瀛洲，煙濤微茫信難求，

    越人語天姥，云霞明滅或可睹。

    天姥連天向天橫，勢拔五岳掩赤城。

    天臺四萬八千丈，對此欲倒東南傾。

    我欲因之夢吳越，一夜飛度鏡湖月。

    湖月照我影，送我至剡溪。
  </pre>
</div>
<script>
  let c=document.getElementById('content')
  c.removeEventListener("copy", copyFilter)
  c.addEventListener("copy", copyFilter)
  function copyFilter(e) {
    let cp=e.clipboardData || window.clipboardData
    if(!cp) {
      return
    }
    let text=window.getSelection().toString()
    if(text) {
      e.preventDefault()
      cp.setData("text/plain", "你復制了一段魔法")
    }
  }
</script>

先獲取到我們要禁止復制的元素，然后給它添加一個copy的事件監聽，在添加監聽之前，要先移除一下，這樣是為了避免局部刷新的時候重復添加，然后我們通過copyFilter函數來對這次操作進行處理。

先獲取剪貼板對象，如果當前事件對象里不存在，那就從window里面取，然后我們通過getSelection再拿到選取的內容，因為我們對剪貼板對象進行修改，所以要阻止默認行為，然后把剪貼板的內容重新賦值，可以是示例中那樣的一段文字，也可以設置為空，甚至是任意其他內容，然后我們就可以看到產生的效果了：

雖然能復制文本，但是由于我們攔截了復制操作，更改了它的行為，因此再粘貼的時候就變成了我們更改的樣子，也做到了禁止復制的功能。

這種方式對于使用快捷鍵或者右鍵的方式都是有效的。

3. 通過攔截cut操作

這種情況主要是在可編輯區域，比如文本框、文本域、設置為contenteditable的元素等，用戶可以對文字進行剪切操作，雖然上面禁止了復制，但是剪切是另一個操作，不攔截的話還是相當于能復制出來。

copy和cut只是觸發的事件不同而已，但是它們都是執行相同的邏輯處理：

<div>
  <div style="padding-left: 56px;">
    <textarea rows="5" cols="33"></textarea>
  </div>
  <pre id="content" contenteditable>
    海客談瀛洲，煙濤微茫信難求，

    越人語天姥，云霞明滅或可睹。

    天姥連天向天橫，勢拔五岳掩赤城。

    天臺四萬八千丈，對此欲倒東南傾。

    我欲因之夢吳越，一夜飛度鏡湖月。

    湖月照我影，送我至剡溪。
  </pre>
</div>
<script>
  let c=document.getElementById('content')
  c.removeEventListener("cut", copyFilter)
  c.addEventListener("cut", copyFilter)
  function copyFilter(e) {
    let cp=e.clipboardData || window.clipboardData
    if(!cp) {
      return
    }
    let text=window.getSelection().toString()
    if(text) {
      e.preventDefault()
      cp.setData("text/plain", "你復制了一段魔法")
    }
  }
</script>

這里我為了方便，給元素添加了contenteditable屬性，讓它變成可編輯的，copyFilter函數沒有變化，我們只是添加了一個剪切事件的監聽，然后它們的處理函數都是copyFilter。看下效果：

可以看到，首先我們對文字進行剪切，沒有出現預期的效果，這時因為我們在代碼里面對剪切進行了攔截，并阻止了它的默認行為，然后我們在粘貼的時候，文字也改變成我們設置的了。

4. 通過媒體查詢控制打印

雖然我們可以通過上面的幾種方法禁止在頁面上復制，但是用戶也可能開啟打印預覽模式，在這種情況下，也是可以進行復制的，我們要想對打印頁面進行一些控制，那么就要用到媒體查詢，先看下打印的樣子：

雖然我們做了限制，但是在打印頁面沒有生效，現在我們針對這個場景更改一下代碼：

@media print {
  html {
    display: none;
  }
}

通過添加上面這個樣式規則，我們能夠使頁面在打印的時候，內容隱藏起來，這樣就無法進行復制了：

能夠看到，點擊打印的時候，預覽頁面一片空白，，這樣就禁止了在打印頁面進行復制的操作。當然了，你其實也可以設置其他的樣式屬性來做些控制，但要記住寫在打印的媒體查詢里面，只有這樣才會在打印頁面生效。

5. 通過偽元素覆蓋內容

還有一種方式就是，通過設定一個偽元素，讓它全面覆蓋文本內容，這樣鼠標就不能選到實際的文本，改造一下代碼：

.content {
  position: relative;
}
.content::before {
  content: '';
  position: absolute;
  left: 0px;
  top: 0px;
  width: 100%;
  height: 100%;
}
<pre id="content" class="content">
  海客談瀛洲，煙濤微茫信難求，

  越人語天姥，云霞明滅或可睹。

  天姥連天向天橫，勢拔五岳掩赤城。

  天臺四萬八千丈，對此欲倒東南傾。

  我欲因之夢吳越，一夜飛度鏡湖月。

  湖月照我影，送我至剡溪。
</pre>

現在就不能在元素上面選中文字了，不過用戶也可能還有一些操作，比如在內容區域外面ctrl+a全選，或者在外面拖動鼠標來全選，如果是這種情形，那么我們可以通過監聽鍵盤和鼠標事件來禁止全選等操作。

6. 通過監聽鼠標和鍵盤事件

由于用戶有很多種操作的方式，鍵盤全選、鼠標全選、鍵盤右鍵、鼠標右鍵等等，我們如果窮舉的話，情況太多了，因此我們只監聽鼠標按下和抬起事件，以及鍵盤的按下事件：

document.removeEventListener("mousedown", haveSelect)
document.addEventListener("mousedown", haveSelect)
document.removeEventListener("mouseup", haveSelect)
document.addEventListener("mouseup", haveSelect)
document.removeEventListener("keydown", haveSelect)
document.addEventListener("keydown", haveSelect)
function haveSelect() {
  window.getSelection().removeAllRanges()
}

主要就是在removeAllRanges方法上面，能夠在觸發上面事件的時候，將所選區域清空，也就是不管你選沒選，咋選的，反正就是你只要進行了操作，那我就那可能選擇的區域給你清空，這樣你就啥也干不了了。

好，這樣就可以啦，無論怎么選，即使出現了選區，但是只要你再按了鼠標或者鍵盤，那么選區就會直接消失，就能達到不能復制的效果，因為你發現啥都做不了。

這里額外說明一下，對于事件的監聽，一定要用addEventListener來實現，因為它會將多個綁定的事件都添加上去，當觸發的時候就會按照綁定的順序進行執行，如果是用賦值的方式，那么后面的會覆蓋前面的，而且賦值的方式很容易被篡改，可以很輕松的讓你的綁定函數不能執行從而失效，而使用addEventListener就不會被人為覆蓋，只能通過綁定的函數句柄來手動移除，也就是說要移除的時候，必須使用跟綁定時使用同一個函數才行。

通過CSS的方式禁止復制，可以很容易的被用戶解除，只能是設置的稍微復雜一點，增加難度。而通過JS的方式禁止復制，也可以通過禁用頁面JavaScript代碼來解除，因此我們可以將內容通過js來渲染，這樣如果頁面禁用了js，那么內容也不會渲染。

禁止調試

對于禁止調試，主要是指用戶打開控制臺，控制臺也就是開發者工具，我為了方便稱之為控制臺，想要對頁面進行調試時，我們做一些處理，阻止這種行為，最大可能的攔截通過控制臺對系統的調試。
主要的方法有幾種，由于打開控制臺是瀏覽器提供的調試功能，因此我們沒法攔截打開操作，即使通過事件監聽不允許快捷鍵這樣做，但是也可以通過其他方式進行打開，因此我們的主要關注點就在于打開控制臺之后，我們能做哪些事情來限制用戶行為。

1. 禁用快捷鍵

打開控制臺的快捷鍵主要有F12和ctrl+shift+i，我們先把這倆給禁用了：

document.removeEventListener("keydown", disableDevShortcut)
document.addEventListener("keydown", disableDevShortcut)
function disableDevShortcut(e) {
  console.log(e)
  if(e.keyCode===123) {
    e.preventDefault()
  }else if(e.keyCode===73 && e.ctrlKey && e.shiftKey) {
    e.preventDefault()
  }
}

這樣在使用這兩個快捷鍵的時候，頁面沒有任何反應，控制臺也不會喚起，因為我們阻止了它們的默認行為。

2. 禁用右鍵的檢查功能

除了通過快捷鍵，還可以使用右鍵的方式，并點擊檢查也會調出控制臺。

這種情景，我們可以通過禁止在頁面上使用右鍵的方式，來阻止打開控制臺：

document.removeEventListener("contextmenu", cancelContextmenu)
document.addEventListener("contextmenu", cancelContextmenu)
function cancelContextmenu(e) {
  e.preventDefault()
}

現在就不能通過右鍵打開控制臺了，但是相應的整個右鍵功能也都不能使用了。

3. 設置無限斷點

如果用戶最終打開了控制臺，比如通過在瀏覽器的更多功能中來打開的話，那么我就需要采取其他的措施，其中之一就是給代碼設置無限斷點，因為斷點只在控制臺打開的時候才會發生作用，從而不必擔心非調試模式下的程序正常運行。

無限斷點的主要思路就是利用定時器等手段，頻繁的觸發斷點效果，使得不能輕松的調試程序，先看下代碼：

;(()=> {
  function breakDebugger() {
    if(new checkDebugger().check) {
      breakDebugger()
    }
  }
  function checkDebugger() {
    const now=new Date();
    eval('(function () {debugger;false;})()')
    const dur=Date.now() - now
    if(dur < 5) {
      return {check: false}
    }else {
      return {check: true}
    }
  }
  setInterval(()=> {
    eval('(function () {debugger;true;})()')
    breakDebugger()
  }, 500)
})()

我們利用一個立即執行的自執行函數，來使我們的代碼被封裝在一個固定塊內，不與其他部分有任何影響。

這里主要做了兩步：

第一步設置一個重復執行的定時器，其中包括了一個斷點和一個函數調用。

第二步通過函數來遞歸調用斷點，主要使用了實例化對象的方式和時間差的判斷。

這樣做的主要作用就是在設置無限斷點的同時，也能夠讓每次的斷點都是被重新生成的，看下效果，一目了然：

發現沒有，我們通過這種方式，只要打開了控制臺，那么就會進入到無限斷點的循環中，使得不能做任何其他事情，而且每個斷點的生成都會開辟一個新的虛擬運行環境，這種情況下，只有關閉控制臺，才能結束斷點。

即使使用右鍵選擇Never parse here，也毫無作用，雖然可以通過Deactive breakpoints按鈕來徹底禁用斷點，就是下面這個按鈕：

但是，如果這樣做的話，那么用戶也就同時失去了調試其他代碼的能力。

況且，我們接下來還會介紹其他的控制手段，可以配合著使用。

4. 監測控制臺開啟

我們如果能有一種手段，可以知道用戶開啟了控制臺，換句話說只要控制臺被打開，就通知我們或者被我們監測到，那么我們就可以執行一些控制手段，這種效果肯定是很理想的，遺憾的是還沒有這種api暴露給我們去讓我們能夠這樣做。

不過我們可以通過其他的方式，利用既有的一些能力來實現這一點，這里我還是使用循環定時器，來不斷的去嗅探用戶是否開啟了控制臺，直接看代碼：

;(()=> {
  setInterval(function() {
    let foo=document.createElement('a')
    let a1=+new Date()
    console.table(foo)
    let a2=+new Date()
    if(a2 - a1 > 1) {
      location.href='about:blank'
    }
    console.clear()
  }, 500)
})()

同樣，通過一個自執行函數，我們開啟了一個循環定時器，然后在回調方法里面，我們就去實現上面的目標，也是分為了兩步：

第一步創建一個a元素，然后通過表格的形式將它打印出來，并記錄下消耗的時間。

第二步判斷耗時的長短來控制是否跳轉到空白頁，然后清空控制臺。

這種方式主要是利用了console.table的特性，它會將元素以表格的形式輸出到控制臺，大概就像下面的樣子：

由于太多了，我就沒有全部截下來，如果沒有打開控制臺的話，使用console.table輸出我們創建的a標簽是很快的，有多快呢，就是js執行一條語句的速度，所以打印a1和a2的時間間隔非常短，幾乎為0，因為他們快到差不多是同時執行的，給大家打印看一下：

我們先不打開控制臺，等輸出完畢再打開，很清楚的發現，我們沒打開控制臺的時候，輸出的a就是它標簽，而且時間間隔是0毫秒。

現在我們打開控制臺的時候刷新一下頁面，看看控制臺的輸出：

這次就變成了以table的形式輸出a元素，而且它的耗時明顯增多，不再是0毫秒，而是耗費了10毫秒，雖然打開控制臺的時候多次刷新頁面，每次輸出的毫秒數是不同的，但是跟關閉控制臺的時候輸出的耗時差距非常明顯，因此我們就可以在這個上面做文章。

我在上面的代碼中假定了，只要是大于1毫秒的耗時，那就表示用戶打開了控制臺，然后我們就把頁面給跳轉到空白頁，當然了你也可以做一些任何你想做的操作，比如彈出一個提示，或者把body內容置空等等等等。

回到我們上面的代碼，看一下它實際發生的作用和帶給我們的效果：

哈哈，古德古德，平時瀏覽一切正常，只要剛一打開控制臺，瞬間頁面就被跳轉走了，什么都干不了。這樣我們就通過這種方式，達到了限制打開控制臺的目的，也就是在當前頁沒法調試，一打開就跳轉。

這種辦法由于是繞路實現的，那么你可能會有疑問，它穩定嗎？會不會誤判，我可以對它絕對放心嗎？

理論上來說，通過輸出的執行時間是不太能精確掌握的，但是我們可以再做一些其他的措施來逼近真相：

;(()=> {
  setInterval(function() {
    let foo=document.createElement('a')
    let a1=+new Date()
    console.table(foo)
    let a2=+new Date()
    if(a2 - a1 > 1) {
      let time=0
      for(let i=0; i < 10; i++) {
        let a1=+new Date()
        console.table(foo)
        let a2=+new Date()
        time +=a2 - a1
      }
      if(time > 20) {
        location.href='about:blank'
      }
    }
    console.clear()
  }, 500)
})()

我又改造了一下判斷的邏輯，當發現輸出耗時為2毫秒甚至更多的時候，我立馬再進行一次真偽判斷，也就是說，萬一由于其他的影響，導致我第7行的代碼誤判了，那么我再同步執行一個循環，連續輸出10次，把他們的耗時總和計算出來，然后判斷是否大于20毫秒，如果還是耗時過高的話，那么就可以非常肯定的知道用戶是打開了控制臺，這個時候就可以放心的做一些處理了。

最后

其實限制用戶行為的方法有很多很多，上面列出了一些主要的，多種方法還是要結合著使用。你也可以自由發揮，多使用一些其他的手段，也會增加用戶復制或者調試的難度，比如防止用戶重寫console的方法，或者清除所有定時器等。

甚至也可以將你的內容繪制到canvas上面來防止復制，多加一些js的處理工作，防止禁用js的時候，我們的代碼不生效，只有在js可用的時候再去渲染內容等。也可以在綜合考慮的情況下加上代碼混淆、代碼加密等措施。

話說回來，大家都是同路人，何必相互為難，哈哈哈，不過提這個需求的人也著實會為難我們，既然提了那就盡力去做，能做到什么程度，只能說是盡量做到極致。

希望上面的內容能夠幫助到你，也希望能夠對你有所啟發。

在前面

今年國慶假期終于可以憋在家里了不用出門了，不用出去看后腦了，真的是一種享受。這么好的光陰怎么浪費，睡覺、吃飯、打豆豆這怎么可能（耍多了也煩），完全不符合我們程序員的作風，趕緊起來把文章寫完。

這篇文章比較基礎，在國慶期間的業余時間寫的，這幾天又完善了下，力求把更多的前端所涉及到的關于文件上傳的各種場景和應用都涵蓋了,若有疏漏和問題還請留言斧正和補充。

自測讀不讀

以下是本文所涉及到的知識點，break or continue ?

• 文件上傳原理
• 最原始的文件上傳
• 使用 koa2 作為服務端寫一個文件上傳接口
• 單文件上傳和上傳進度
• 多文件上傳和上傳進度
• 拖拽上傳
• 剪貼板上傳
• 大文件上傳之分片上傳
• 大文件上傳之斷點續傳
• node 端文件上傳

原理概述

原理很簡單，就是根據 http 協議的規范和定義，完成請求消息體的封裝和消息體的解析，然后將二進制內容保存到文件。

我們都知道如果要上傳一個文件，需要把 form 標簽的enctype設置為multipart/form-data,同時method必須為post方法。

那么multipart/form-data表示什么呢？

multipart互聯網上的混合資源，就是資源由多種元素組成，form-data表示可以使用HTML Forms 和 POST 方法上傳文件，具體的定義可以參考RFC 7578。

multipart/form-data 結構

看下 http 請求的消息體

• 請求頭：

Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryDCntfiXcSkPhS4PN 表示本次請求要上傳文件，其中boundary表示分隔符，如果要上傳多個表單項，就要使用boundary分割，每個表單項由———XXX開始，以———XXX結尾。

• 消息體- Form Data 部分

每一個表單項又由Content-Type和Content-Disposition組成。

Content-Disposition: form-data 為固定值，表示一個表單元素，name 表示表單元素的 名稱，回車換行后面就是name的值，如果是上傳文件就是文件的二進制內容。

Content-Type：表示當前的內容的 MIME 類型，是圖片還是文本還是二進制數據。

解析

客戶端發送請求到服務器后，服務器會收到請求的消息體，然后對消息體進行解析，解析出哪是普通表單哪些是附件。

可能大家馬上能想到通過正則或者字符串處理分割出內容，不過這樣是行不通的，二進制buffer轉化為string,對字符串進行截取后，其索引和字符串是不一致的，所以結果就不會正確，除非上傳的就是字符串。

不過一般情況下不需要自行解析，目前已經有很成熟的三方庫可以使用。

至于如何解析，這個也會占用很大篇幅，后面的文章在詳細說。

最原始的文件上傳

使用 form 表單上傳文件

在 ie時代，如果實現一個無刷新的文件上傳那可是費老勁了，大部分都是用 iframe 來實現局部刷新或者使用 flash 插件來搞定，在那個時代 ie 就是最好用的瀏覽器（別無選擇）。

DEMO

這種方式上傳文件，不需要 js ，而且沒有兼容問題，所有瀏覽器都支持，就是體驗很差，導致頁面刷新，頁面其他數據丟失。

HTML

 <form method="post" action="http://localhost:8100" enctype="multipart/form-data">

        選擇文件:
            <input type="file" name="f1"/> input 必須設置 name 屬性，否則數據無法發送<br/>
<br/>
            標題：<input type="text" name="title"/><br/><br/><br/>

        <button type="submit" id="btn-0">上 傳</button>

</form>

復制代碼

文件上傳接口

服務端文件的保存基于現有的庫koa-body結合 koa2實現服務端文件的保存和數據的返回。

在項目開發中，文件上傳本身和業務無關，代碼基本上都可通用。

在這里我們使用koa-body庫來實現解析和文件的保存。

koa-body 會自動保存文件到系統臨時目錄下，也可以指定保存的文件路徑。

然后在后續中間件內得到已保存的文件的信息，再做二次處理。

• ctx.request.files.f1 得到文件信息，f1為input file 標簽的 name
• 獲得文件的擴展名，重命名文件

NODE

/**
 * 服務入口
 */
var http=require('http');
var koaStatic=require('koa-static');
var path=require('path');
var koaBody=require('koa-body');//文件保存庫
var fs=require('fs');
var Koa=require('koa2');

var app=new Koa();
var port=process.env.PORT || '8100';

var uploadHost=`http://localhost:${port}/uploads/`;

app.use(koaBody({
    formidable: {
        //設置文件的默認保存目錄，不設置則保存在系統臨時目錄下  os
        uploadDir: path.resolve(__dirname, '../static/uploads')
    },
    multipart: true // 開啟文件上傳，默認是關閉
}));

//開啟靜態文件訪問
app.use(koaStatic(
    path.resolve(__dirname, '../static') 
));

//文件二次處理，修改名稱
app.use((ctx)=> {
    var file=ctx.request.files.f1;//得道文件對象
    var path=file.path;
    var fname=file.name;//原文件名稱
    var nextPath=path+fname;
    if(file.size>0 && path){
        //得到擴展名
        var extArr=fname.split('.');
        var ext=extArr[extArr.length-1];
        var nextPath=path+'.'+ext;
        //重命名文件
        fs.renameSync(path, nextPath);
    }
    //以 json 形式輸出上傳文件地址
    ctx.body=`{
        "fileUrl":"${uploadHost}${nextPath.slice(nextPath.lastIndexOf('/')+1)}"
    }`;
});

/**
 * http server
 */
var server=http.createServer(app.callback());
server.listen(port);
console.log('demo1 server start ......   ');
復制代碼

CODE

https://github.com/Bigerfe/fe-learn-code/