Web开发中Ruffle（Flash模拟器）代码注入的探究与应对

1. 引言：Web开发者工具中的“神秘”脚本

在进行网页开发和调试时，开发者可能会偶然发现浏览器开发者工具（如Firefox的Web Developer Tools）的HTML头部或页面其他位置，被注入了一段看似与自身代码无关的<script>标签。这段脚本通常包含与Shockwave Flash、Ruffle等关键词相关的内容，其功能是尝试模拟Flash播放器。对于许多开发者而言，Flash技术早已被淘汰，因此这种意外的注入往往令人不解，甚至引发对网页安全性和性能的担忧。

2. Ruffle：Flash内容的新生

要理解这段“神秘”代码，首先需要认识Ruffle。Ruffle是一个用Rust语言编写的开源Flash播放器模拟器，它被编译为WebAssembly，能够在现代Web浏览器中运行旧版的Flash内容。其核心目标是为那些依赖Flash内容的网站提供一种在Flash被淘汰后仍能继续运行的解决方案，从而实现Flash内容的“复活”。

3. Ruffle代码注入的机制解析

当Ruffle被加载到网页中时，它会执行一段脚本来修改浏览器的navigator.plugins和navigator.mimeTypes对象，以注册一个虚拟的“Shockwave Flash”插件。这样，当浏览器遇到Flash内容时，就会尝试调用这个由Ruffle提供的虚拟插件来处理，而非报告Flash缺失。

以下是典型的Ruffle注入代码片段示例：

<script>(function(){class RuffleMimeType{constructor(a,b,c){this.type=a,this.description=b,this.suffixes=c}}class RuffleMimeTypeArray{constructor(a){this.__mimetypes=[],this.__named_mimetypes={};for(let b of a)this.install(b)}install(a){let b=this.__mimetypes.length;this.__mimetypes.push(a),this.__named_mimetypes[a.type]=a,this[a.type]=a,this[b]=a}item(a){return this.__mimetypes[a]}namedItem(a){return this.__named_mimetypes[a]}get length(){return this.__mimetypes.length}}class RufflePlugin extends RuffleMimeTypeArray{constructor(a,b,c,d){super(d),this.name=a,this.description=b,this.filename=c}install(a){a.enabledPlugin||(a.enabledPlugin=this),super.install(a)}}class RufflePluginArray{constructor(a){this.__plugins=[],this.__named_plugins={};for(let b of a)this.install(b)}install(a){let b=this.__plugins.length;this.__plugins.push(a),this.__named_plugins[a.name]=a,this[a.name]=a,this[b]=a}item(a){return this.__plugins[a]}namedItem(a){return this.__named_plugins[a]}get length(){return this.__plugins.length}}const FLASH_PLUGIN=new RufflePlugin("Shockwave Flash","Shockwave Flash 32.0 r0","ruffle.js",[new RuffleMimeType("application/futuresplash","Shockwave Flash","spl"),new RuffleMimeType("application/x-shockwave-flash","Shockwave Flash","swf"),new RuffleMimeType("application/x-shockwave-flash2-preview","Shockwave Flash","swf"),new RuffleMimeType("application/vnd.adobe.flash-movie","Shockwave Flash","swf")]);function install_plugin(a){navigator.plugins.install||Object.defineProperty(navigator,"plugins",{value:new RufflePluginArray(navigator.plugins),writable:!1}),navigator.plugins.install(a),0<a.length&&!navigator.mimeTypes.install&&Object.defineProperty(navigator,"mimeTypes",{value:new RuffleMimeTypeArray(navigator.mimeTypes),writable:!1});for(var b=0;b<a.length;b+=1)navigator.mimeTypes.install(a[b])}install_plugin(FLASH_PLUGIN);})();</script>

这段代码的核心作用是：

• 定义Ruffle相关的类： RuffleMimeType、RuffleMimeTypeArray、RufflePlugin、RufflePluginArray，用于模拟浏览器对MIME类型和插件的内部管理机制。
• 创建虚拟Flash插件： FLASH_PLUGIN实例被创建，其名称被设置为“Shockwave Flash”，并关联了常见的Flash MIME类型（如application/x-shockwave-flash）。
• 注入浏览器API： install_plugin函数会修改navigator.plugins和navigator.mimeTypes对象，将Ruffle创建的虚拟Flash插件注册到浏览器中。这意味着，当网页尝试检测Flash插件时，会发现Ruffle提供的这个虚拟插件，从而Ruffle能够拦截并处理Flash内容。

4. Ruffle代码来源的常见途径

Ruffle代码的出现通常有以下几种原因：

• 主动集成： 开发者可能为了兼容某些包含Flash内容的旧版功能或页面，主动将Ruffle库集成到项目中。这通常通过<script src="ruffle.js"></script>标签或通过模块打包工具引入。
• 项目依赖： 这是最常见的情况。项目中使用的某个第三方库、框架或构建工具可能间接依赖了Ruffle。例如，某些多媒体播放器、内容管理系统插件或遗留的UI组件，为了向后兼容Flash内容，可能会将Ruffle作为其依赖项之一。当项目构建时，Ruffle的代码就会被打包并注入到最终的网页中。
• 浏览器扩展： 某些浏览器扩展程序为了提供Flash兼容性，可能会在用户访问特定网站时注入Ruffle代码。尽管这在本地开发环境中较少见，但如果问题仅在特定浏览器或配置下出现，则值得考虑。

5. 对Web项目的影响与考量

虽然Ruffle旨在提供兼容性，但其意外出现仍可能带来一些影响和考量：

• 性能开销： 即使没有Flash内容需要播放，Ruffle脚本的加载和执行也会增加页面的初始加载时间和CPU消耗。对于对性能要求较高的项目，这可能是需要优化的点。
• 行为预期： 如果项目中明确不应有Flash内容，Ruffle的存在可能意味着存在不必要的依赖或未被发现的集成，可能导致意外的行为或资源浪费。
• 依赖管理： 意外的Ruffle注入凸显了项目依赖透明性的重要性。开发者应定期审查项目依赖，了解每个依赖的作用及其可能引入的额外代码。

6. 排查与管理Ruffle代码的策略

当发现Ruffle代码被注入时，可以采取以下步骤进行排查和管理：

Face++旷视

Face⁺⁺ AI开放平台

下载

1. 检查项目依赖：

   • 对于使用npm/yarn的JavaScript项目，检查package.json文件中的dependencies和devDependencies。
   • 对于其他语言或框架，检查对应的依赖管理文件（如composer.json、requirements.txt等）。
   • 特别注意那些与多媒体、旧版兼容性或内容渲染相关的库。可以尝试使用npm list ruffle或yarn why ruffle等命令来查看Ruffle是否作为间接依赖被引入。

2. 全局搜索项目文件：

   • 在整个项目目录中搜索ruffle.js、RuffleMimeType、Shockwave Flash等关键词。这有助于定位Ruffle代码的物理文件或引入它的代码行。

3. 审查浏览器扩展：

   • 尝试在无痕模式下打开网页，或暂时禁用所有浏览器扩展，以排除扩展程序注入Ruffle的可能性。如果问题消失，则可能是某个扩展程序导致。

4. 检查构建配置：

   • 如果项目使用了Webpack、Rollup、Parcel等打包工具，检查其配置文件（如webpack.config.js）。某些加载器（loader）或插件（plugin）可能会在构建过程中注入特定的脚本。

5. 移除或禁用不必要的Ruffle：

   • 如果确认Ruffle是不必要的，并且是作为项目依赖被引入的，可以尝试更新或替换引起Ruffle依赖的库。
   • 如果Ruffle是直接集成但已不再需要，应从项目中移除相关的脚本引用和配置文件。
   • 在某些情况下，如果Ruffle是可选依赖，可能可以在构建配置中将其排除。

7. 总结

Ruffle作为一款优秀的Flash模拟器，为现代Web浏览器运行旧版Flash内容提供了可能。然而，当其代码意外出现在不期望的网页中时，开发者需要理解其作用机制和常见的注入途径。通过细致地排查项目依赖、审查代码和构建配置，开发者可以有效地识别Ruffle代码的来源，并根据项目需求决定是保留、优化还是移除它，从而确保Web应用的性能、安全性和行为符合预期。