BOM不是标准,而是浏览器厂商自发实现的window及其子对象(如location、history等)的接口集合;window是核心,因所有BOM对象均挂载其上且为全局对象;location可读写URL并触发跳转,history仅能操作当前页历史栈;window.open()、navigator.userAgent等存在兼容性与安全风险,需谨慎使用。
BOM 不是标准,也没有统一的规范定义;它是一组浏览器厂商自发实现的、用于操作浏览器窗口和环境的 JavaScript 接口集合。 你无法在 ECMAScript 标准里找到 BOM 这个词,它只是开发者对 window 及其子对象(如 location、history、navigator、screen、frames)的习惯性统称。
为什么 window 是 BOM 的核心对象?
所有 BOM 对象都挂载在全局 window 上(即使不写 window.,也能直接访问),它是浏览器窗口的顶层代理:
-
window既是全局对象(this === window),也是当前窗口的接口入口 - 它提供对窗口生命周期(
open()/close())、尺寸(innerWidth/outerHeight)、焦点(focus()/blur())的控制 - 它的子属性才是常被单独称为“BOM 对象”的部分——但它们本身不是独立类,只是
window的普通属性
location 和 history 的关键区别在哪?
两者都与 URL 相关,但职责和权限完全不同:
-
location是只读 + 可写混合对象:读取时返回当前 URL 信息(href、pathname、search等),赋值或调用assign()、replace()会触发页面跳转 -
history是只读对象(除导航方法外):不能读取其他页面的 URL,只能通过back()、forward()、go()或pushState()/replaceState()操作历史栈;现代 SPA 路由依赖的就是后者 - 安全限制:
history.state只能读取当前页 push/replace 进去的状态,无法窥探用户之前访问过的其他站点记录
哪些 BOM 属性/方法存在严重兼容性或安全问题?
这些接口看似简单,实际在不同浏览器或上下文中行为差异大,容易出错:
立即学习“Java免费学习笔记(深入)”;
-
window.open():现代浏览器默认拦截弹窗,除非是用户点击等同步事件中调用;传入空字符串''作为 URL 时,Chrome 会打开 about:blank,Firefox 可能复用当前页上下文 -
navigator.userAgent:已被多数浏览器弃用或返回冻结值(如 Chrome 110+ 返回固定字符串),不应再用于设备检测;改用navigator.userAgentData(需 HTTPS)或特性检测 -
screen.availWidth/availHeight:返回的是系统可用屏幕区域(排除任务栏),但 Windows 高 DPI 缩放下可能返回非整数或错误值;更可靠的是用window.innerWidth/innerHeight -
frames/top/parent:跨域 iframe 会触发SecurityError,读取frames.length或判断self !== top是安全的,但访问子帧属性会失败
if (self !== top) {
// 安全:仅比较引用
console.log('当前页面在 iframe 中');
}
// ❌ 危险:若 iframe 跨域,下面这行会抛 SecurityError
// console.log(frames[0].location.href);
真正要小心的是把 BOM 当成“稳定 API”来用——它没有版本号,没有弃用警告,今天能跑的 window.sidebar.addPanel()(已废弃多年)明天可能就彻底消失。实际开发中,优先查 MDN 文档中标注为 “Non-standard” 或 “Deprecated” 的接口,别信旧教程里的“万能写法”。
