Node.js 26.4.0 與 24.18.0 LTS 同步發布,引入虛擬檔案系統與新加密演算法
Node.js 官方部落格 · 2026-06-24
Node.js 專案於 2026 年 6 月 23–24 日分別釋出 v24.18.0(LTS 代號 Krypton)與 v26.4.0(Current),兩個版本均包含多項 SEMVER-MINOR 新功能與相依套件升級。最受矚目的新特性是 v26.4.0 中的 node:vfs 虛擬檔案系統子模組,以及兩版本共同強化的 WebCrypto 支援。
核心改動:node:vfs 虛擬檔案系統
v26.4.0 新增了最小化的 node:vfs 子系統(PR #63115),並讓 node:fs/promises 能夠 dispatch 至已掛載的 VFS 實例(PR #63537)。這使得應用程式可將自訂虛擬檔案系統掛載後,透過標準 fs API 操作,對測試沙盒、容器環境及工具鏈整合具有實際意義。此外,readFile() 開始支援呼叫端自行提供 buffer(PR #63634),減少不必要的記憶體配置。
Loader 層面新增了 package maps 支援(PR #62239),讓模組解析可依照 import map 規則進行映射。Net 模組也補上 TCP_KEEPINTVL 與 TCP_KEEPCNT 選項(PR #63825),讓 TCP keep-alive 調校更細緻。UDP 方面,dgram 新增同步版本 Socket.prototype.bindSync()(PR #63838)與 connectSync()(PR #63932)。
加密與安全強化
v24.18.0 LTS 是此次加密強化的重心:根憑證升至 NSS 3.123.1,新增 TurboSHAKE、KangarooTwelve 兩種 WebCrypto 演算法,並補上 ML-DSA 與 ML-KEM 後量子演算法(搭配 BoringSSL)。WebCrypto 另針對 prototype pollution 進行保護,CryptoKey 的演算法槽也做了強化。v26.4.0 則在 TLS 層加入 certificateCompression 選項(PR #62217),並將 argon2 及 encap/decap 標記為穩定 API。
效能與其他改動
v26.4.0 為 AArch64 與 x86_64 新增了實驗性快速 FFI 呼叫 API,Linux ppc64le 預設啟用 Maglev 編譯器。Buffer 的 prototype.copy 以及 WHATWG Streams 均獲得效能最佳化,事件系統的 addAbortListener 透過快取 options 物件提升效率。v24.18.0 則將 Buffer.poolSize 預設值提升至 64 KiB。
npm升至11.17.0(v26)/11.16.0(v24)sqlite升至3.53.2(v26)/3.53.1(v24)ngtcp2升至1.23.0,nghttp3升至1.16.0acorn升至8.17.0,libffi升至3.6.0zlib升至1.3.2.1-motley-3246f1b
原始來源:Node.js v26.4.0 Release Blog、Node.js v24.18.0 Release Blog
ARIA 反模式剖析:濫用角色屬性為何反而降低頁面可及性
dbushell.com · 2026-06-26
前端開發者 David Bushell 於 2026 年 6 月 26 日發表技術文章,針對 ARIA 屬性被錯誤使用的常見場景提出批評。文章核心論點是:開發者頻繁以 ARIA 角色屬性「模擬」語意,卻忽略原生 HTML 元素已內建完整的無障礙行為,不僅多此一舉,更可能引入新的可及性問題。
原本的問題:將 div 偽裝成按鈕
文章以以下程式碼為典型反例:
<div tabindex="0" role="button" id="action">
Print Page
</div>作者指出,在任何場合下 <div role="button"> 都不應優先於原生 <button>。原生按鈕自動具備鍵盤可操作性(Enter / Space)、焦點管理、瀏覽器預設樣式與輔助技術識別,而 div 加上 ARIA 角色仍需手動處理所有這些行為,容易遺漏。WebAIM Million 年度報告的數據顯示,頁面 ARIA 屬性使用量愈高,可偵測到的可及性錯誤也愈多。
APG 被誤解的定位
許多開發者將 W3C 的 ARIA Authoring Practices Guide(APG)視為「最佳實踐」來源,但 APG 實際上是用於「展示 ARIA 規格在理論上應如何運作」的示範文件,而非日常開發的實作範本。ARIA 使用第一規則明確要求:若原生 HTML 元素已具備所需語意與行為,開發者應直接使用原生元素,而非重新定義通用元素再疊加 ARIA。
採用的方法:三種例外場景
根據 W3C using-aria 文件,僅在下列三種情形才應考慮使用 ARIA 覆蓋語意:
- 瀏覽器或輔助技術對原生元素的無障礙支援尚不完善
- 視覺設計限制使得原生元素無法套用所需樣式
- HTML 規格中目前尚無對應的原生元素或屬性
日常開發應優先確認 a11ysupport.io 的跨瀏覽器支援矩陣,再決定是否需要 ARIA 補強,而非直接套用 APG 的示範模式。
原始來源:ARIA, anti-patterns, and you — dbushell.com、W3C Using ARIA — First Rule
WHATWG HTML 規格正式納入處理指令解析,Chromium、WebKit、Gecko 三大引擎跟進
WHATWG HTML 規格(GitHub)· 2026-06-25
WHATWG HTML 規格於 2026 年 6 月 25 日合併 PR #12118(commit 320c05f),新增對 XML 風格處理指令(processing instructions,格式:<?target data?>)的解析支援。在此之前,HTML 解析器將所有 <? 開頭的序列視為偽注釋(bogus comment)丟棄;規格更新後,符合規則的處理指令將建立真正的 ProcessingInstruction DOM 節點,不再被靜默忽略。
規格細節
新解析規則的運作方式如下:<? 開啟一個處理指令,> 始終負責關閉(與偽注釋的 tokenizer 行為一致,維護解析安全性)。target 名稱須以 ASCII 字母開頭,後續可接英數字、連字號或底線;若 target 為 xml 或 xml-stylesheet(大小寫不敏感),則仍退回視為偽注釋,以防止意外載入 XSLT 樣式表。? 若未緊接 >,則成為 data 的一部分。
此變更的關鍵背景是 lit-html 使用 PI 語法作為模板標記(格式:lit$$xxxxxxxx$)。規格工作組採用「target 僅限英數字加連字號/底線」的限制,使 lit-html 現有格式符合規格,並將不合法的 target 退回偽注釋處理,確保向後相容。規格修改集中於 source 單一檔案,新增 353 行、刪除 29 行,作者為 Philip Jägenstedt(foolip)與 Noam Rosenthal。
影響範圍
Chromium 與 WebKit 已確認支援,Mozilla(Gecko)也承諾跟進實作。此規格變更正式結束了各瀏覽器在處理 <? 序列時的行為分歧,對依賴 PI 語法進行模板標記的框架(如 lit-html)而言,現在有了跨引擎一致的語意保證。配套的 Web Platform Tests 已提交(WPT PR #60828),序列化測試收錄於 WPT PR #57486。