前言​

在前端專案日益龐大與模組化的今天，建構工具（build tools）扮演了極其關鍵的角色。而 Webpack 作為目前最主流的模組打包器（module bundler），廣泛應用於各類前端應用與框架中（如 React、Vue 等）。本篇筆記將介紹 Webpack 的基本概念、核心組件與實際範例，協助你快速理解與實作。

一、什麼是 Webpack？​

Webpack 是一個靜態模組打包器，它會從你的應用程式進入點（entry point）開始，分析相依的模組（JavaScript、CSS、圖片、JSON 等），然後打包成一或多個 bundle，供瀏覽器載入使用。

主要特性包含：

• 支援模組系統（如 CommonJS、ESM）
• 可搭配各種 Loader 處理不同類型資源
• 使用 Plugin 擴充打包功能
• 開發與生產模式可分離配置
• 支援 Hot Module Replacement（HMR）與 Dev Server

二、基本安裝與專案初始化​

建立一個新的專案資料夾：

mkdir my-webpack-app
cd my-webpack-app
npm init -y

安裝 Webpack 及其 CLI 工具：

npm install --save-dev webpack webpack-cli

建立基本的專案目錄結構：

my-webpack-app/
├── dist/
│   └── index.html
├── src/
│   └── index.js
├── package.json
└── webpack.config.js

三、撰寫基本範例​

1. src/index.js​

import "./style.css";

const element = document.createElement("h1");
element.textContent = "Hello Webpack!";
document.body.appendChild(element);

2. src/style.css​

body {
  font-family: Arial, sans-serif;
  background-color: #f0f0f0;
  text-align: center;
  padding-top: 100px;
}

3. dist/index.html​

<!DOCTYPE html>
<html lang="en">
  <head>
    <meta charset="UTF-8" />
    <title>My Webpack App</title>
  </head>
  <body>
    <script src="main.js"></script>
  </body>
</html>

四、Webpack 基礎設定檔​

建立 webpack.config.js：

const path = require("path");

module.exports = {
  entry: "./src/index.js", // 入口檔案
  output: {
    filename: "main.js", // 輸出檔案名稱
    path: path.resolve(__dirname, "dist"), // 輸出目錄
    clean: true, // 每次打包清空 dist
  },
  module: {
    rules: [
      {
        test: /\.css$/i, // 處理 CSS 檔案
        use: ["style-loader", "css-loader"],
      },
    ],
  },
  mode: "development", // 模式（也可設為 'production'）
};

安裝所需的 CSS loader：

npm install --save-dev style-loader css-loader

五、打包與啟動​

執行打包指令：

npx webpack

執行後會自動將所有相依檔案打包為 dist/main.js，可以直接打開 dist/index.html 查看效果。

六、啟用 Webpack Dev Server（開發伺服器）​

為了開發方便，我們可以啟用內建的開發伺服器，支援 HMR（Hot Module Replacement）功能。

安裝 dev server：

npm install --save-dev webpack-dev-server

在 webpack.config.js 增加設定：

devServer: {
  static: './dist',
  port: 3000,
  open: true, // 自動開啟瀏覽器
  hot: true,  // 啟用 HMR
}

更新 package.json 的 scripts：

"scripts": {
  "build": "webpack",
  "start": "webpack serve"
}

執行：

npm run start

開發伺服器啟動後會自動開啟 localhost:3000，修改檔案後可即時預覽變更。

七、區分開發與生產模式​

在實際開發中，我們會針對開發與正式環境建立不同的設定檔，使用 webpack-merge 套件來合併共用設定：

npm install --save-dev webpack-merge

建立以下三個檔案：

webpack.common.js
webpack.dev.js
webpack.prod.js

webpack.common.js 放共用設定，其他兩個則各自設定環境特有的項目，例如：

• webpack.dev.js: 開啟 Source Map、HMR
• webpack.prod.js: 最佳化壓縮、移除 console.log 等

八、擴充功能：使用 Babel 處理 ES6+​

Webpack 本身不會轉譯 JavaScript，需要搭配 Babel：

npm install --save-dev babel-loader @babel/core @babel/preset-env

新增 .babelrc：

{
  "presets": ["@babel/preset-env"]
}

在 webpack.config.js 加入規則：

{
  test: /\.js$/,
  exclude: /node_modules/,
  use: {
    loader: 'babel-loader'
  }
}

這樣就能讓 Webpack 在打包過程中使用 Babel 將 ES6+ 語法轉譯為相容的版本。

九、使用 Plugin 擴充功能：HtmlWebpackPlugin​

HtmlWebpackPlugin 可自動產生並插入 script 標籤：

npm install --save-dev html-webpack-plugin

修改設定：

const HtmlWebpackPlugin = require("html-webpack-plugin");

plugins: [
  new HtmlWebpackPlugin({
    template: "./dist/index.html",
    inject: "body",
  }),
];

不再需要手動在 index.html 中引入 main.js，Webpack 會自動插入對應 bundle。

十、結語與建議​

Webpack 雖然設定上比 Vite 複雜，但擁有極高的自訂彈性與完整生態系，是大型專案不可或缺的建構工具。透過 Loader 處理不同格式的資源、Plugin 擴充功能，再加上分環境設定與開發伺服器支援，Webpack 能有效協助你管理現代前端應用的整個建構流程。

適合情境包括：

• React、Vue 中大型應用
• 多入口或模組系統複雜的專案
• 需要高度自訂打包流程的企業內部系統

雖然 Vite、Parcel 等工具正迅速崛起，但 Webpack 仍是學習前端建構工具不可忽略的重要基礎。

Cookie 是一種儲存在使用者瀏覽器上的小型文字檔案，用於保存使用者的狀態或資訊。常見用途包含：

紀錄登入狀態：讓使用者在網站上保持登入，不需每次重新輸入帳號。 使用者偏好設定：保存使用者選擇的語言、主題等個人化設定。 追蹤使用者行為：例如分析網站流量、廣告投放追蹤等。

重點摘要

Cookie 依據不同的分類方式，可以分為以下幾種常見種類：

一、依用途分類：​

1. 功能性 Cookie（Functional Cookies）

   • 主要用於提升網站使用體驗，例如記住使用者的登入狀態、語言設定、購物車內容等。

2. 必要性 Cookie（Strictly Necessary Cookies）

   • 維持網站基本運作所需，例如登入認證、網頁導航等，通常無法被關閉。

3. 分析型 Cookie（Analytical/Performance Cookies）

   • 用於收集網站流量數據，分析使用者行為，幫助網站優化，例如 Google Analytics。

4. 廣告追蹤 Cookie（Advertising/Targeting Cookies）

   • 用於追蹤使用者瀏覽行為，以提供個人化廣告或推薦內容。

二、依存放時間分類：​

1. 暫時性 Cookie（Session Cookies）

   • 只在使用者開啟網頁期間有效，關閉瀏覽器後即刪除。

2. 永久性 Cookie（Persistent Cookies）

   • 設定到期日期，存放於使用者裝置上，保存時間較長，即使關閉瀏覽器也不會刪除，直到設定的到期日或手動刪除。

三、依來源分類：​

1. 第一方 Cookie（First-party Cookies）

   • 由使用者瀏覽的網站所設定，通常用於記錄該網站上的互動紀錄。

2. 第三方 Cookie（Third-party Cookies）

   • 由非該網站的第三方（如廣告商）設定，用於跨網站追蹤使用者行為，以推送廣告等。

四、特殊類型：​

1. 安全性 Cookie（Secure Cookies）

   • 只能透過 HTTPS 傳輸，避免被攔截，主要保障敏感資料安全。

2. HttpOnly Cookie

   • 僅限伺服器端存取，JavaScript 無法讀取，用於防範 XSS 攻擊。

3. SameSite Cookie

   • 限制跨站請求攜帶 Cookie，減少 CSRF 攻擊風險，值可設為：
   • Strict：禁止跨站請求攜帶 Cookie。
   • Lax：部分允許，如從第三方網站點擊連結進來時可帶 Cookie。
   • None：允許跨站攜帶，但須配合 Secure。

總結

這些分類會依需求搭配使用，例如一個「必要性第一方暫時性 Cookie」可能用於維護登入和操作狀態；一個「第三方廣告追蹤永久性 Cookie」則可能用於跨網站顯示個人化廣告。

1. 什麼是 Alpine.js？​

Alpine.js 是一個輕量級的 JavaScript 框架，專為增強 HTML 標記而設計。它的語法靈感來自 Vue.js，但更加簡潔，適用於需要簡單互動的網頁。

它的主要特點包括：

• 使用 HTML 屬性直接定義行為
• 不需要額外的構建工具
• 易於學習和使用
• 與其他框架（如 Vue、React）兼容

2. 安裝與引入​

使用 Alpine.js 最簡單的方法是透過 CDN 引入。

<!DOCTYPE html>
<html lang="zh-TW">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Alpine.js 入門</title>
    <script defer src="https://cdn.jsdelivr.net/npm/alpinejs@3.x.x/dist/cdn.min.js"></script>
</head>
<body>
    <h1>Alpine.js 教學</h1>
</body>
</html>

3. 基本語法與應用​

3.1 x-data​

x-data 屬性用於定義 Alpine.js 的組件狀態。

<div x-data="{ message: 'Hello, Alpine!' }">
    <p x-text="message"></p>
</div>

這段程式碼會顯示 Hello, Alpine!，並且 x-text 會自動更新內容。

3.2 x-bind​

x-bind 允許綁定 HTML 屬性。

<div x-data="{ color: 'red' }">
    <p x-bind:style="'color: ' + color">這是一段紅色文字</p>
</div>

3.3 x-on​

x-on 用於事件監聽，例如點擊事件。

<div x-data="{ count: 0 }">
    <button x-on:click="count++">增加</button>
    <p>計數：<span x-text="count"></span></p>
</div>

3.4 x-model​

x-model 允許雙向綁定表單元素。

<div x-data="{ name: '' }">
    <input type="text" x-model="name" placeholder="輸入你的名字">
    <p>你好，<span x-text="name"></span>！</p>
</div>

3.5 x-show​

x-show 控制元素顯示或隱藏。

<div x-data="{ isVisible: true }">
    <button x-on:click="isVisible = !isVisible">切換顯示</button>
    <p x-show="isVisible">這段文字可以顯示或隱藏</p>
</div>

3.6 x-if​

x-if 會動態新增或移除元素（比 x-show 更影響 DOM）。

<div x-data="{ isVisible: true }">
    <button x-on:click="isVisible = !isVisible">切換</button>
    <template x-if="isVisible">
        <p>這是一段可動態新增或刪除的文字</p>
    </template>
</div>

3.7 x-for​

x-for 用於迭代陣列。

<div x-data="{ items: ['蘋果', '香蕉', '橘子'] }">
    <ul>
        <template x-for="item in items" :key="item">
            <li x-text="item"></li>
        </template>
    </ul>
</div>

3.8 計時器與非同步操作​

Alpine.js 支援 setTimeout 和 fetch 等 JavaScript 方法。

<div x-data="{
    message: '載入中...',
    async fetchData() {
        let response = await fetch('https://jsonplaceholder.typicode.com/todos/1');
        let data = await response.json();
        this.message = data.title;
    }
}" x-init="fetchData">
    <p x-text="message"></p>
</div>

4. Alpine.js 與 Tailwind CSS​

Alpine.js 常與 Tailwind CSS 搭配使用，打造簡潔的 UI。

<div x-data="{ open: false }" class="p-5">
    <button x-on:click="open = !open" class="bg-blue-500 text-white px-4 py-2 rounded">
        切換選單
    </button>
    <ul x-show="open" class="mt-2 border p-2">
        <li>選單 1</li>
        <li>選單 2</li>
        <li>選單 3</li>
    </ul>
</div>

5. Alpine.js 進階應用​

5.1 Alpine.store​

Alpine.store 可用於全域狀態管理。

<script>
    document.addEventListener('alpine:init', () => {
        Alpine.store('app', { count: 0 });
    });
</script>

<div x-data>
    <button x-on:click="$store.app.count++">增加</button>
    <p>計數：<span x-text="$store.app.count"></span></p>
</div>

5.2 Alpine.plugin​

Alpine.js 提供外掛支援，例如 persist（本地儲存）。

<script src="https://cdn.jsdelivr.net/npm/@alpinejs/persist@3.x.x/dist/cdn.min.js"></script>
<script>
    document.addEventListener('alpine:init', () => {
        Alpine.plugin(Alpine.persist);
    });
</script>

<div x-data="{ count: $persist(0) }">
    <button x-on:click="count++">增加</button>
    <p>計數：<span x-text="count"></span></p>
</div>

6. 總結​

Alpine.js 是一個靈活且輕量的框架，適合用於簡單互動需求，如表單驗證、選單切換、即時更新內容等。它不需要複雜的配置，能夠快速增強靜態 HTML 頁面。

如果你的專案需要更強大的功能，可以考慮與 Vue.js 或 React 搭配，或在更大規模的應用中使用其他框架。

一、前言：為什麼選擇 Tailwind CSS 搭配 daisyUI？​

在現代前端開發中，Tailwind CSS 提供了高度自訂、原子化的 CSS class，使得開發者能夠以更模組化與語意化的方式撰寫樣式。然而，Tailwind 並不內建 UI 元件，這就使得一些常見元件（如按鈕、表單、卡片）仍需手動組裝樣式。

這時，daisyUI 就成為極佳的搭檔。daisyUI 是一個基於 Tailwind CSS 架構的元件庫，提供豐富的預設元件樣式與主題切換能力，讓你能快速建構出一致、美觀的介面，並維持 Tailwind CSS 的開發哲學。

二、基本安裝流程​

1. 初始化專案​

首先建立一個新的專案，並安裝 Tailwind CSS。這裡以 Vite 為例：

npm create vite@latest my-app -- --template vanilla
cd my-app
npm install

接著安裝 Tailwind CSS 相關套件：

1. tailwindcss 核心庫，提供 Tailwind 的 utility class
2. postcss CSS 處理工具，Tailwind 用它來轉換 CSS
3. autoprefixer 為 CSS 自動加上瀏覽器前綴，如 -webkit-

# 安裝相關套件
npm install -D tailwindcss postcss autoprefixer
# 初始化設定檔
# 建立 Tailwind CSS 的設定檔 tailwind.config.js
# 加上 -p 參數會同時建立 PostCSS 的設定檔 postcss.config.js
npx tailwindcss init -p

2. 設定 Tailwind​

修改 tailwind.config.js：

module.exports = {
  content: ["./index.html", "./src/**/*.{js,ts,jsx,tsx}"],
  theme: {
    extend: {},
  },
  plugins: [],
}

建立 ./src/style.css 並加上 Tailwind 的 directives：

@tailwind base;
@tailwind components;
@tailwind utilities;

3. 安裝 daisyUI​

npm install daisyui

然後在 tailwind.config.js 中加入插件：

module.exports = {
  content: ["./index.html", "./src/**/*.{js,ts,jsx,tsx}"],
  theme: {
    extend: {},
  },
  plugins: [require("daisyui")],
}

可選：設定主題

daisyui: {
  themes: ["light", "dark", "cupcake", "synthwave", "dracula"],
},

三、開始使用：元件實戰範例​

現在你已成功安裝與整合 Tailwind CSS + daisyUI，接下來讓我們透過實際範例來掌握它們的用法。

範例一：按鈕樣式​

daisyUI 提供多種按鈕樣式，只需使用 btn class：

<button class="btn btn-primary">主要按鈕</button>
<button class="btn btn-secondary">次要按鈕</button>
<button class="btn btn-accent">強調按鈕</button>
<button class="btn btn-outline">外框按鈕</button>

也可以搭配大小與形狀：

<button class="btn btn-sm btn-circle btn-error">X</button>
<button class="btn btn-lg btn-square btn-info">i</button>

範例二：表單與輸入框​

<div class="form-control w-full max-w-xs">
  <label class="label">
    <span class="label-text">使用者名稱</span>
  </label>
  <input type="text" placeholder="請輸入名稱" class="input input-bordered w-full" />
</div>

<div class="form-control w-full max-w-xs">
  <label class="label">
    <span class="label-text">選擇國家</span>
  </label>
  <select class="select select-bordered">
    <option disabled selected>選擇一個選項</option>
    <option>台灣</option>
    <option>日本</option>
    <option>美國</option>
  </select>
</div>

範例三：卡片元件​

<div class="card w-96 bg-base-100 shadow-xl">
  <figure><img src="https://placeimg.com/400/225/tech" alt="科技圖" /></figure>
  <div class="card-body">
    <h2 class="card-title">科技卡片</h2>
    <p>這是一個搭配 Tailwind CSS 與 daisyUI 所設計的卡片元件。</p>
    <div class="card-actions justify-end">
      <button class="btn btn-primary">查看更多</button>
    </div>
  </div>
</div>

範例四：主題切換​

daisyUI 預設支援多主題切換，可透過修改 <html> 的 data-theme 屬性達成：

<html data-theme="dracula">

或者透過 JS 切換：

document.documentElement.setAttribute("data-theme", "light")

四、整合應用：登入頁設計​

我們結合 daisyUI 元件製作一個登入表單：

<div class="min-h-screen bg-base-200 flex items-center justify-center">
  <div class="card w-full max-w-sm shadow-2xl bg-base-100">
    <div class="card-body">
      <h2 class="text-2xl font-bold text-center mb-4">登入系統</h2>
      <div class="form-control">
        <label class="label">
          <span class="label-text">電子郵件</span>
        </label>
        <input type="email" placeholder="you@example.com" class="input input-bordered" />
      </div>
      <div class="form-control">
        <label class="label">
          <span class="label-text">密碼</span>
        </label>
        <input type="password" placeholder="請輸入密碼" class="input input-bordered" />
      </div>
      <div class="form-control mt-6">
        <button class="btn btn-primary">登入</button>
      </div>
    </div>
  </div>
</div>

整合 Tailwind CSS 和 daisyUI 後這個表單完全不需要寫自訂 CSS，就能擁有一致的樣式與響應式設計。

五、總結與延伸學習​

整合 Tailwind CSS 和 daisyUI 的好處在於：

• 可以保有 Tailwind CSS 的彈性與控制權。
• daisyUI 提供現成且風格統一的元件，開發速度大幅提升。
• 可輕鬆切換主題，實現暗色模式等功能。
• 支援任意框架，React、Vue、Svelte、Alpine.js 都適用。

在網頁開發中，效能優化是一個不可忽視的重要課題。無論是企業網站、單頁應用（SPA），或是電商平台，效能表現都直接影響使用者體驗與轉換率。

本篇筆記將介紹 Web 前端效能優化的核心概念、常見策略與實務範例，幫助你為專案建立良好的基礎。

為什麼需要前端效能優化？​

前端效能不佳會導致：

• 首次載入時間過長
• 使用者等待過久，產生跳出行為
• SEO 表現不佳（Google 會參考 LCP、CLS、FCP 等指標）

透過有效的優化策略，我們能讓網站更快、更穩、更吸引人。

效能優化的三個層面​

1. 載入效能（Loading Performance）：提升頁面初始載入速度。
2. 互動效能（Interaction Performance）：優化點擊、滑動等互動的流暢度。
3. 渲染效能（Rendering Performance）：減少重繪、重排與動畫卡頓。

一、減少不必要的資源請求​

使用 CDN​

透過 CDN（Content Delivery Network）可將靜態資源分發到全球節點，加速載入。

<!-- 使用 Google Fonts CDN -->
<link href="https://fonts.googleapis.com/css2?family=Roboto&display=swap" rel="stylesheet" />

合併與壓縮資源（Minify & Bundle）​

使用打包工具如 Webpack、Vite，可以：

• 將 JS / CSS 壓縮（Minify）
• 移除註解與空白
• 合併多個檔案減少 HTTP 請求數量

範例（Webpack 設定簡略）：​

// webpack.config.js
module.exports = {
  mode: 'production', // 自動啟用壓縮
  entry: './src/index.js',
  output: {
    filename: 'bundle.js',
  },
};

二、圖片與多媒體優化​

適當圖片格式​

• 使用 WebP 或 AVIF 取代 JPEG / PNG，可減少檔案體積 25% 以上
• SVG 適用於圖示與 icon，解析度不會失真

延遲載入圖片（Lazy Loading）​

<img src="thumbnail.jpg" loading="lazy" alt="延遲載入圖片" />

或搭配 JavaScript 實現滾動載入。

三、有效使用 Cache（快取）​

設定 Cache-Control 標頭​

在伺服器上設定靜態資源快取策略：

Cache-Control: max-age=31536000, immutable

適用於版本化的資源檔案（如 main.123abc.js），可快取一年不變。

四、精簡 CSS 與 JavaScript​

移除未使用的 CSS（Tree Shaking）​

使用工具如 PurgeCSS、TailwindCSS JIT Mode 可自動剔除沒用到的樣式。

PurgeCSS 使用方式（簡略）：​

const purgecss = require('@fullhuman/postcss-purgecss');

module.exports = {
  plugins: [
    purgecss({
      content: ['./**/*.html'],
    }),
  ],
};

延遲載入 JS（Defer / Async）​

<script src="main.js" defer></script>

• defer: 等 DOM 解析完才執行，不阻塞渲染
• async: 載入完成即執行，適合非必要腳本（如 GA）

五、避免過度重排與重繪​

使用 class 切換取代 style 修改​

重複直接操作 DOM style 屬性會導致效能下降，改用 CSS class 控制樣式較佳。

// 不推薦
element.style.width = '100px';
element.style.height = '50px';

// 推薦
element.classList.add('resized');

.resized {
  width: 100px;
  height: 50px;
}

使用 transform 與 opacity 進行動畫​

避免透過 top、left、width 等影響 layout 的屬性來做動畫。

/* 推薦做法：使用 transform */
.card {
  transition: transform 0.3s ease;
}
.card:hover {
  transform: scale(1.05);
}

六、最佳化 DOM 結構與渲染​

• 減少過深的 DOM 巢狀結構
• 使用虛擬滾動（Virtual Scroll）載入大量列表
• 避免頻繁操作 DOM，應該一次性改動（使用 DocumentFragment 或 requestAnimationFrame）

七、使用開發工具檢查效能​

Chrome DevTools​

1. Lighthouse：提供整體效能建議
2. Performance Panel：檢查 JS 執行、動畫、Layout shift 等問題
3. Network Panel：觀察資源大小、載入順序與快取狀態

總結與建議實作順序​

若你剛開始進行專案的效能優化，可以依照以下順序著手：

1. 壓縮與合併 JS / CSS
2. 圖片格式轉換與 Lazy Load
3. CDN 部署靜態資源
4. 移除未使用樣式與延遲載入腳本
5. 改善動畫與 DOM 操作
6. 導入快取策略
7. 使用 Lighthouse 檢查並優化問題

效能優化並非一次性工作，而是一個持續調整的過程。建議我們可以從專案開始就納入效能考量，將它當成基本開發原則來實踐。

參考文件​

1. Core Web Vitals: An everyday explanation (Taiwanese with English subtitles)

在現代網頁應用中，資安問題層出不窮，從簡單的跨站攻擊（XSS）到複雜的憑證竊取、身份偽造（CSRF），都可能導致個資外洩、系統遭入侵甚至企業商譽受損。

本篇筆記將從實務角度出發，介紹幾種常見 Web 資安風險及其防範策略，讓你能以最基本的方式保護網站與使用者安全。

一、常見 Web 資安威脅類型​

1. XSS（Cross-Site Scripting，跨站腳本攻擊）​

原理：攻擊者將惡意腳本注入至網站，當其他使用者瀏覽該頁面時，惡意腳本便會在其瀏覽器上執行，例如竊取 cookie、冒充使用者操作等。

實例：​

<!-- 攻擊者輸入的留言內容 -->
<script>alert('你被 XSS 攻擊了');</script>

若網站未正確處理輸入，這段 JavaScript 就會直接被執行。

防範方式：​

• 對所有輸入進行 轉義（Escape）
• 使用前端框架自動編碼機制（如 React 的 JSX）
• 避免使用 innerHTML 插入未清洗的資料

範例（JavaScript 轉義文字）：​

function escapeHtml(str) {
  return str
    .replace(/&/g, "&")
    .replace(/</g, "&lt;")
    .replace(/>/g, "&gt;")
    .replace(/"/g, "&quot;")
    .replace(/'/g, "&#039;");
}

2. CSRF（Cross-Site Request Forgery，跨站請求偽造）​

原理：攻擊者引導使用者點擊惡意連結或載入圖片，使其在未察覺情況下對已登入的網站發送請求，進而竄改資料或觸發操作。

實例：​

<!-- 攻擊者網站中隱藏圖片，觸發某網站的轉帳請求 -->
<img src="https://bank.com/transfer?amount=1000&to=attacker" />

如果使用者已登入 bank.com 且未防範 CSRF，就可能無意間轉帳。

防範方式：​

• 後端驗證 CSRF Token
• 使用 SameSite Cookie 屬性
• 僅允許 POST / PATCH / DELETE 操作變更狀態
• 驗證 Referer / Origin 標頭（有風險）

範例（Express + CSRF Token）：​

const csrf = require("csurf");
const cookieParser = require("cookie-parser");

app.use(cookieParser());
app.use(csrf({ cookie: true }));

app.get("/form", (req, res) => {
  res.render("form", { csrfToken: req.csrfToken() });
});

3. SQL Injection（SQL 注入）​

原理：透過惡意輸入拼接 SQL 查詢語句，導致資料庫查詢異常，甚至刪除資料。

實例：​

-- 假設未使用參數化查詢
SELECT * FROM users WHERE username = '' OR 1=1;

攻擊者輸入 ' OR 1=1; -- 可繞過認證邏輯，取得所有帳戶資料。

防範方式：​

• 使用 ORM 或預處理語句（Prepared Statement）
• 不拼接 SQL 字串，改用參數綁定
• 限制資料庫帳號權限

範例（Node.js + MySQL）：​

const username = req.body.username;
const password = req.body.password;

const query = "SELECT * FROM users WHERE username = ? AND password = ?";
connection.query(query, [username, password], function (err, results) {
  // 安全地查詢
});

4. 資料傳輸未加密（缺少 HTTPS）​

原理：若網站使用 HTTP，使用者資料（如帳號密碼、金流資訊）在傳輸過程中可能被中間人攔截（Man-in-the-Middle attack）。

防範方式：​

• 強制使用 HTTPS（導入憑證）
• 使用 HSTS（HTTP Strict Transport Security）
• 移除 HTTP 存取（使用 301 重導）

範例（NGINX 強制 HTTPS）：​

server {
  listen 80;
  server_name example.com;
  return 301 https://$host$request_uri;
}

5. 檔案上傳風險​

原理：攻擊者透過檔案上傳功能傳入惡意腳本（如 .php、.jsp），若伺服器未阻擋，可能導致遠端代碼執行。

防範方式：​

• 限制可上傳的檔案類型與副檔名
• 不讓使用者可直接存取上傳目錄
• 使用 UUID 改名，避免原檔名執行

附加安全性強化機制​

HTTP 安全標頭設定（Security Headers）​

使用如 Helmet（Express.js 中間件）快速加入以下標頭：

• Content-Security-Policy：防止 XSS 和資源注入
• X-Frame-Options：防止點擊劫持（Clickjacking）
• X-Content-Type-Options：避免 MIME 類型混淆
• Strict-Transport-Security：強制 HTTPS

範例（Node.js + Helmet）：​

const helmet = require("helmet");
app.use(helmet());

總結與建議實作順序​

如果剛開始建立 Web 專案，可以按照以下步驟檢查安全性：

1. 輸入驗證與輸出轉義，防範 XSS
2. 加入 CSRF Token 機制
3. 資料庫查詢全面使用預處理語句
4. 部署 HTTPS 並強制重導
5. 使用 Helmet 加強安全標頭
6. 定期檢查依賴套件漏洞（如 npm audit）

資訊安全並非一勞永逸，而是一種持續維護的工作。建議我們可以將資安意識融入日常開發流程中，隨時更新資安知識與工具。

一、什麼是 PostCSS？​

PostCSS 是一個 CSS 的轉換工具（CSS Transformer），本身不是 CSS 預處理器（如 Sass）或框架（如 Tailwind CSS），但它可以透過「外掛（plugin）」的方式強化你的 CSS 工作流程。

簡單來說，PostCSS 是一個平台，讓你可以用 JavaScript 編寫規則，自動處理 CSS，像是：

• 自動加上瀏覽器前綴（autoprefixer）
• 支援未來 CSS 語法（例如 Nesting）
• 壓縮 CSS、移除重複樣式
• 搭配 Tailwind CSS 進行原子化設計

二、PostCSS 的運作原理​

PostCSS 的流程如下：

1. 將原始 CSS 解析為 AST（抽象語法樹）
2. 透過插件對 AST 進行操作
3. 將修改後的 AST 轉回 CSS 輸出

你可以選擇使用官方插件、社群插件，甚至自己寫 plugin。

三、如何安裝與設定 PostCSS​

安裝（使用 npm）​

npm install -D postcss postcss-cli autoprefixer

建立 PostCSS 設定檔 postcss.config.js​

module.exports = {
  plugins: [
    require('autoprefixer'),
  ],
};

這樣 PostCSS 就會讀取這個設定檔，並在處理 CSS 時自動加入瀏覽器前綴。

四、基本使用流程​

假設你有一個檔案 src/style.css：

/* src/style.css */
:root {
  --main-color: #4f46e5;
}

.btn {
  display: flex;
  background-color: var(--main-color);
  user-select: none;
}

執行 PostCSS 處理：​

npx postcss src/style.css -o dist/style.css

這會根據你的 postcss.config.js 處理並輸出到 dist/style.css。

輸出結果可能為：​

:root {
  --main-color: #4f46e5;
}

.btn {
  display: -webkit-box;
  display: -ms-flexbox;
  display: flex;
  background-color: var(--main-color);
  -webkit-user-select: none;
     -moz-user-select: none;
      -ms-user-select: none;
          user-select: none;
}

這就是 autoprefixer 自動補完各種瀏覽器相容性的結果。

五、常用插件介紹與範例​

1. autoprefixer（最常見）​

自動加上 CSS 瀏覽器前綴

npm install -D autoprefixer

可搭配 .browserslistrc 或 package.json 設定支援目標：

> 1%
last 2 versions
not dead

2. postcss-preset-env​

支援未來 CSS 語法，例如 Nesting、變數、邏輯函數等

npm install -D postcss-preset-env

更新設定檔：

module.exports = {
  plugins: [
    require('postcss-preset-env')({
      stage: 1,
    }),
  ],
};

然後你就可以寫類似這樣的 CSS：

.btn {
  color: white;

  &:hover {
    color: black;
  }
}

經過 PostCSS 處理後會被轉成瀏覽器可讀的標準語法。

3. cssnano（壓縮 CSS）​

這個插件會讓 CSS 變得更小，適合生產環境使用：

npm install -D cssnano

module.exports = {
  plugins: [
    require('autoprefixer'),
    require('cssnano')({
      preset: 'default',
    }),
  ],
};

六、PostCSS 與 Tailwind CSS 的關係​

Tailwind CSS 是建立在 PostCSS 基礎上的一個插件。因此在安裝 Tailwind 時你會看到：

npm install -D tailwindcss postcss autoprefixer
npx tailwindcss init -p

這個指令會產生 postcss.config.js：

module.exports = {
  plugins: {
    tailwindcss: {},
    autoprefixer: {},
  },
};

Tailwind 本身就是一個 PostCSS 插件，會將你在 HTML 或 JSX 中寫的 class 轉換成實際的 CSS。

七、PostCSS 與其他工具整合​

搭配 Vite​

Vite 專案中只要有 postcss.config.js 檔案，會自動載入設定，不需額外安裝。

搭配 Webpack​

在 webpack.config.js 加入：

module: {
  rules: [
    {
      test: /\.css$/,
      use: ['style-loader', 'css-loader', 'postcss-loader'],
    },
  ],
}

八、自訂 PostCSS 插件（進階）​

你也可以自己撰寫插件來操作 CSS AST：

module.exports = () => {
  return {
    postcssPlugin: 'my-plugin',
    Declaration(decl) {
      if (decl.prop === 'color' && decl.value === 'red') {
        decl.value = 'blue';
      }
    },
  };
};
module.exports.postcss = true;

這個簡單的插件會把 color: red 自動換成 color: blue。

九、總結​

PostCSS 雖然不像 Sass 有自己的語法，也不像 Tailwind 有明確的設計架構，但它是現代前端 CSS 處理流程中不可或缺的工具，擁有高度彈性與強大生態系。

我們可以根據需求只加幾個插件，也可以像 Tailwind 那樣完全建構在它上面。尤其當你的專案需要支援多瀏覽器、使用最新 CSS 語法、進行建置壓縮時，PostCSS 是最佳解法之一。

如果你正在使用 Vite、Next.js、或是 Tailwind CSS，幾乎都已內建 PostCSS 支援。了解它的運作方式能幫你更精準地控制前端樣式處理流程。

前言​

在 React 應用程式中，隨著功能的增加與維護需求的提升，我們常常會遇到多個元件需要共享相同邏輯的情況。為了避免重複撰寫相似程式碼、增加維護成本，React 提供了一個優雅的解法：自訂 Hook（Custom Hook）。

自 React 16.8 版本開始，我們能使用 Hook 來管理狀態與副作用，而自訂 Hook 則是讓我們可以把邏輯封裝起來，像一般函式一樣在多個元件中重複使用。這篇文章將介紹如何從實際範例中將撰寫資料抓取的邏輯封裝成一個 Custom Hook，並展示其應用方式。

重點摘要​

• React Hook 是一種能在函式元件中使用的功能，讓你能使用狀態（state）與其他 React 功能。
• Custom Hook 是自訂的 Hook 函式，其命名必須以 use 開頭（例如：useFetch）。
• Custom Hook 讓我們可以封裝與重複使用邏輯，而不重複撰寫相同的程式碼。
• 可透過傳入參數來讓 Hook 更具彈性與重用性。
• 可將如資料抓取（fetching）、表單邏輯、事件監聽等邏輯封裝成 Custom Hook。

實作範例​

初始範例：在元件中撰寫抓取邏輯​

以下是一個簡單的 React 元件 Home，它在載入時從 JSONPlaceholder 抓取待辦事項（todo）資料，並顯示在頁面上：

// index.js
import { useState, useEffect } from 'react';
import ReactDOM from 'react-dom/client';

const Home = () => {
  const [data, setData] = useState(null);

  useEffect(() => {
    fetch('https://jsonplaceholder.typicode.com/todos')
      .then((res) => res.json())
      .then((data) => setData(data));
  }, []);

  return (
    <>
      {data &&
        data.map((item) => {
          return <p key={item.id}>{item.title}</p>;
        })}
    </>
  );
};

const root = ReactDOM.createRoot(document.getElementById('root'));
root.render(<Home />);

這段程式碼可以正常運作，但若我們之後在其他元件中也需要類似的資料抓取功能，就會發現邏輯無法重用，這時就是 Custom Hook 派上用場的時候。

抽出邏輯：撰寫 Custom Hook​

我們可以將 fetch 的邏輯抽出成一個名為 useFetch 的自訂 Hook，放在 useFetch.js 檔案中：

// useFetch.js
import { useState, useEffect } from 'react';

const useFetch = (url) => {
  const [data, setData] = useState(null);

  useEffect(() => {
    fetch(url)
      .then((res) => res.json())
      .then((data) => setData(data));
  }, [url]);

  return [data];
};

export default useFetch;

這個 Hook 會接收一個 URL 作為參數，並返回從該 URL 抓取到的資料。

使用 Custom Hook 的元件​

有了 useFetch 之後，我們就可以在 Home 元件中直接使用這個 Hook，如下所示：

// index.js
import ReactDOM from 'react-dom/client';
import useFetch from './useFetch';

const Home = () => {
  const [data] = useFetch('https://jsonplaceholder.typicode.com/todos');

  return (
    <>
      {data &&
        data.map((item) => {
          return <p key={item.id}>{item.title}</p>;
        })}
    </>
  );
};

const root = ReactDOM.createRoot(document.getElementById('root'));
root.render(<Home />);

說明與分析​

這個自訂 Hook 的設計有以下幾個特點：

1. 命名規則：遵守 React 規範，Hook 函式以 use 開頭（此例為 useFetch），才能被 React 正確識別為 Hook。
2. 封裝邏輯：將 useState 和 useEffect 的邏輯封裝在 useFetch 中，不再重複撰寫於元件內。
3. 提高重用性：只要傳入不同的 URL，就能從其他 API 抓取資料，使用方式彈性且簡潔。
4. 維護簡便：若日後需要修改資料抓取的邏輯，只需在 useFetch.js 中調整一次，即可影響所有使用該 Hook 的元件。

總結​

自訂 Hook 是 React 開發中非常實用的工具，讓我們能夠撰寫模組化、可重複使用且容易維護的邏輯。當你在多個元件中發現重複的邏輯（如資料抓取、訂閱事件、表單處理等），就可以考慮將其封裝成一個 Custom Hook，提升程式碼品質與開發效率。

透過本文介紹的 useFetch 範例，你應該能夠掌握如何將常見的副作用邏輯抽離為一個可重用的 Hook，也歡迎在實務中嘗試建立更多適合自己應用場景的自訂 Hook。

如果你想了解更多關於資料抓取的技術細節，可以進一步學習 JavaScript Fetch API 的用法，並搭配錯誤處理（如 .catch()）與 loading 狀態等進行擴充。這將使你的 Custom Hook 更加完善。

參考文件​

1. React Custom Hooks

前言​

在 React 的開發中，我們常會遇到一些運算成本高昂（expensive）的函式，例如複雜的計算或操作大量資料。如果這些運算每次重新渲染都會重新執行，可能會導致效能低落，甚至造成使用者界面的卡頓或延遲。此時，我們可以使用 React 的 useMemo Hook，透過「記憶化」（memoization）技術，避免不必要的重新計算，從而提升效能。

本文將說明 useMemo 的用途、使用時機，並透過實際範例展示其效能優化的實際效果。

重點摘要​

• useMemo 是 React 提供的 Hook，用來「記憶化」一個計算結果，僅在依賴（dependencies）變動時才重新計算。

• 它的語法為：useMemo(() => { return value }, [dependencies])

• useMemo 適合用在：

  • 資源密集的計算
  • 必須避免重複執行的運算

• useMemo 與 useCallback 類似，但：

  • useMemo 回傳的是 記憶化的值
  • useCallback 回傳的是 記憶化的函式

• 搭配依賴陣列使用，確保只在必要時重新計算

範例一：未使用 useMemo，效能不佳​

以下是一個基本範例，展示若每次重新渲染都執行一次昂貴的計算函式 expensiveCalculation，會造成延遲的情形：

import { useState } from 'react';
import ReactDOM from 'react-dom/client';

const App = () => {
  const [count, setCount] = useState(0);
  const [todos, setTodos] = useState([]);
  const calculation = expensiveCalculation(count); // 每次 render 都執行

  const increment = () => {
    setCount((c) => c + 1);
  };
  const addTodo = () => {
    setTodos((t) => [...t, 'New Todo']);
  };

  return (
    <div>
      <div>
        <h2>My Todos</h2>
        {todos.map((todo, index) => (
          <p key={index}>{todo}</p>
        ))}
        <button onClick={addTodo}>Add Todo</button>
      </div>
      <hr />
      <div>
        Count: {count}
        <button onClick={increment}>+</button>
        <h2>Expensive Calculation</h2>
        {calculation}
      </div>
    </div>
  );
};

const expensiveCalculation = (num) => {
  console.log('Calculating...');
  for (let i = 0; i < 1000000000; i++) {
    num += 1;
  }
  return num;
};

const root = ReactDOM.createRoot(document.getElementById('root'));
root.render(<App />);

問題說明：​

當我們只是點擊「Add Todo」按鈕，實際上並未更動 count，但昂貴的 expensiveCalculation(count) 卻仍然被重新執行，造成整體效能低落。

範例二：使用 useMemo 優化效能​

接下來我們使用 useMemo 來包裝昂貴的計算函式，使其僅在 count 變動時才重新執行：

import { useState, useMemo } from 'react';
import ReactDOM from 'react-dom/client';

const App = () => {
  const [count, setCount] = useState(0);
  const [todos, setTodos] = useState([]);
  const calculation = useMemo(() => expensiveCalculation(count), [count]);

  const increment = () => {
    setCount((c) => c + 1);
  };
  const addTodo = () => {
    setTodos((t) => [...t, 'New Todo']);
  };

  return (
    <div>
      <div>
        <h2>My Todos</h2>
        {todos.map((todo, index) => (
          <p key={index}>{todo}</p>
        ))}
        <button onClick={addTodo}>Add Todo</button>
      </div>
      <hr />
      <div>
        Count: {count}
        <button onClick={increment}>+</button>
        <h2>Expensive Calculation</h2>
        {calculation}
      </div>
    </div>
  );
};

const expensiveCalculation = (num) => {
  console.log('Calculating...');
  for (let i = 0; i < 1000000000; i++) {
    num += 1;
  }
  return num;
};

const root = ReactDOM.createRoot(document.getElementById('root'));
root.render(<App />);

優化結果：​

• 當你按下「Add Todo」時，不再觸發 expensiveCalculation
• 僅當 count 變動時，才會重新執行昂貴的計算
• 大幅減少不必要的運算與效能浪費

總結​

useMemo 是 React 提供用來優化效能的重要工具，尤其在面對昂貴計算或複雜資料處理時，能有效避免不必要的運算。雖然 useMemo 不該過度使用於簡單運算，但在大型應用中，對於效能的提升非常有幫助。

使用時機建議：​

• 當某個函式或邏輯的執行成本高昂
• 該邏輯只需在某些依賴值變化時執行一次
• 搭配 useMemo 可減少重複運算、提升 UI 響應速度

記得：不要為了使用而使用，只有在效能瓶頸或實際需求下，useMemo 才能發揮其最大效益。

參考文件​

1. React Custom Hooks

前言​

在 React 中，每次元件重新渲染時，元件內部定義的函式也會被重新建立。這會導致某些子元件即使其 props 沒有變動，卻仍然會被重新渲染，造成效能浪費。useCallback Hook 是 React 提供的工具，用來記憶（memoize）函式的參考，以避免不必要的重新渲染。它的使用情境與 useMemo 類似，不同之處在於：useMemo 記憶的是「值」，而 useCallback 記憶的是「函式」。

重點摘要​

• useCallback 是 React 提供的 Hook，可回傳一個記憶化的函式。
• 記憶化的概念就像是快取（caching），只在依賴值變更時才重新建立函式。
• useCallback 可改善效能，避免函式在每次重新渲染時被重新定義。
• 常與 React.memo 搭配使用，防止不必要的子元件重新渲染。
• 與 useMemo 類似，但 useMemo 回傳的是「值」，useCallback 回傳的是「函式」。
• 若函式沒有依賴到外部變數，也可以將依賴陣列設為空陣列（[]），表示永遠不重新建立。

問題說明：為何子元件會重渲染？​

在下列範例中，即使 todos 陣列沒有變動，點擊 + 按鈕後，子元件 Todos 仍會重新渲染：

// index.js
import { useState } from 'react';
import ReactDOM from 'react-dom/client';
import Todos from './Todos';

const App = () => {
  const [count, setCount] = useState(0);
  const [todos, setTodos] = useState([]);

  const increment = () => {
    setCount((c) => c + 1);
  };

  const addTodo = () => {
    setTodos((t) => [...t, 'New Todo']);
  };

  return (
    <>
      <Todos todos={todos} addTodo={addTodo} />
      <hr />
      <div>
        Count: {count}
        <button onClick={increment}>+</button>
      </div>
    </>
  );
};

const root = ReactDOM.createRoot(document.getElementById('root'));
root.render(<App />);

// Todos.js
import { memo } from 'react';

const Todos = ({ todos, addTodo }) => {
  console.log('child render');
  return (
    <>
      <h2>My Todos</h2>
      {todos.map((todo, index) => (
        <p key={index}>{todo}</p>
      ))}
      <button onClick={addTodo}>Add Todo</button>
    </>
  );
};

export default memo(Todos);

上述例子中，我們使用了 React.memo 包裹 Todos 元件，理論上當 todos 不變時，它不該重新渲染。然而，當你點擊「+」按鈕後 Todos 仍然會重渲染，原因在於：

參考相等性（Referential Equality）​

每次 App 元件重新渲染時，addTodo 函式都會重新建立，導致其記憶位置不同。雖然 Todos 的 props.todos 沒變，但 props.addTodo 是一個新的函式，因此 React.memo 偵測到 props 有變動，就會導致子元件重新渲染。

解法：使用 useCallback 記憶函式​

為了解決上述問題，可以使用 useCallback 記憶 addTodo 函式，讓它只在 todos 改變時才重新定義：

// index.js
import { useState, useCallback } from 'react';
import ReactDOM from 'react-dom/client';
import Todos from './Todos';

const App = () => {
  const [count, setCount] = useState(0);
  const [todos, setTodos] = useState([]);

  const increment = () => {
    setCount((c) => c + 1);
  };

  const addTodo = useCallback(() => {
    setTodos((t) => [...t, 'New Todo']);
  }, [todos]);

  return (
    <>
      <Todos todos={todos} addTodo={addTodo} />
      <hr />
      <div>
        Count: {count}
        <button onClick={increment}>+</button>
      </div>
    </>
  );
};

const root = ReactDOM.createRoot(document.getElementById('root'));
root.render(<App />);

此時，當點擊 + 按鈕時，addTodo 函式不再被重新建立，因此 Todos 元件也不會被不必要地重新渲染。

總結​

• useCallback 是優化 React 應用效能的重要工具，尤其是在元件傳遞函式給子元件時。
• 若你搭配 React.memo 使用，請務必搭配 useCallback，以避免函式參考不一致而導致的重渲染。
• 不過也不要過度使用 useCallback，因為它本身也有效能成本，應該根據實際需求與效能瓶頸來使用。

在實務中，對於常被重複渲染、或複雜邏輯包裝的子元件來說，useCallback 能有效避免不必要的重新渲染，是撰寫高效 React 應用程式時不可忽視的工具。

參考文件​

1. React Custom Hooks