请问一下 unsafeWindow monkeyWindow 和 window 的区别

[kayanouriko]

中文资料讲这个的太少了, 我英文也不太好, 机翻找到的英文资料也一知半解, 能找到还在活跃的中文油猴开发可能就是这里了, 如果能解答一下我的疑问就太好了_(:3

我看别的资料说 unsafeWindow 是油猴修改成安全沙盒后为了方便操作网页的引用, 但是实际上我看了一下仓库里面的例子修改元素的时候也是直接使用 document 进行操作的, 而不需要添加 unsafeWindow 的前缀, 那这三个 window 主要是在哪些地方运用的呢?

主要是初学可能说得语无伦次还望见谅.

[lisonge]

一般来说，当你配置 grant 时，你的代码会被包裹在一个 with(customWindow){ your_code } 里面，这里的 customWindow 是一个 Proxy 对象

例如油猴代码是 console.log(document) ，当执行的时候会触发两次 customWindow 的 handler 的 get 方法，prop 参数分别是 "console" 和 "document"

这个 customWindow 就是油猴脚本作用域下的 window，这样的好处是用户脚本的变量和函数定义不会与页面上已存在的变量和函数产生冲突，防止意外的命名冲突和变量污染

此外目标页面也有自己的 window，通常叫它 unsafeWindow ，很多时候页面的一些信息被放在页面的全局作用域上，比如 b 站当前用户信息可以通过 unsafeWindow.__BiliUser__ 获取

以上就脚本作用域内 window 和 unsafeWindow

---

当使用 vite-plugin-monkey 时，开发环境下的 window 来自页面模块作用域，构建后的代码获取到的 window 来自脚本作用域

也就是 console.log(window) 在开发环境和构建环境的输出不一致

因此为了统一获取方式，插件提供了 monkeyWindow 它总是返回 脚本作用域 的 window， GM_api/unsafeWindow 也能从它的属性上获取

[lisonge]

还有一种情况是 // @grant none 这种情况下 monkeyWindow 就是目标网页的 window ，同时也没有 with(new Proxy()) 包裹你的代码

[kayanouriko]

重新看了一下你第一次回答后面的一大段.
monkeyWindow 用于脚本代码写 window 上那些方法例如 onxxx 的时候替换使用的, 然后需要获取页面作用域的全局变量的时候就用 unsafeWindow.
这样理解呢?
grant none 这种油猴已经不提倡了应该不用讨论了. 我在别的资料看来的, 说使用 unsafeWindow 也破坏了油猴的安全模型, 按照上面所说的通过 unsafeWindow 获取全局变量是不是也不是最佳实践, 在开发中是否应该避免使用 unsafeWindow 的情况, 还是说使用 unsafeWindow 的时候有啥需要额外处理的东西?

[kayanouriko]

看了一下 Tampermonkey 的文档, 正常情况下, 只有 window.onurlchange, window.focus, window.close 这三个特殊的方法需要用 monkeyWindow 替代 window 的写法, 其余的应该都可以在代码中使用 window 来调用. 这样理解应该是没问题的.
unsafeWindow 以后仅仅用于获取页面作用域的全局变量, 这样应该也算安全, 毕竟只是变量不是函数.
再次感谢, 算是有了比较清晰的理解.

[lisonge]

使用 unsafeWindow 也破坏了油猴的安全模型

没感觉破坏，我不用 // @grant unsafeWindow 用 document 照样能获取

(async () => {
  const script = document.createElement('script');
  script.text = `document.__window=window`;
  script.addEventListener('load', () => {
    script.parentElement?.removeChild(script);
  });
  document.head.append(script);
  const unsafeWindow2 = await new Promise((res) => {
    setTimeout(() => {
      res(document.__window);
    }, 100);
  });
  console.log(unsafeWindow2);
})();

[kayanouriko]

在这里看到的: [油猴脚本开发指南]沙盒机制的前世今生, 底下评论也说资料比较久远, 可能和现在的实现有出入.
暂时就按你上面的回复理解吧, 感谢了_(:3