跳到主要内容

现代浏览器工作原理

浏览器远不只是一个把 HTML、CSS 和 JavaScript 变成页面的黑箱。它更像一个专门为 Web 内容运行而设计的小型操作系统:负责网络请求、资源调度、解析文档、执行脚本、计算样式、布局绘制、GPU 合成、进程隔离、安全策略和开发者调试。

Web 开发者理解浏览器内部机制,目标是建立正确的工程直觉,背诵实现细节的价值很低:为什么某个脚本会阻塞首屏,为什么一次 DOM 修改会触发布局抖动,为什么跨域 iframe 需要隔离,为什么 DevTools 能准确指出长任务、慢请求和重绘来源。浏览器已经替开发者隐藏了大量复杂性,但抽象失效时,底层机制会重新暴露出来。

一次导航发生了什么

用户输入 URL、点击链接或提交表单时,浏览器首先由浏览器进程接管导航。这个进程负责地址栏、标签页、权限提示、下载、历史记录、网络调度和其他页面之外的全局能力。页面内容本身通常交给独立的渲染进程处理。

一次导航大致经过这些阶段:

  1. 解析 URL。 浏览器判断输入是网址、搜索词还是特殊协议,同时进行安全检查,识别钓鱼、恶意下载、混合内容或被策略禁止的请求。
  2. 解析域名。 网络栈把域名解析为 IP。结果可能来自缓存、系统 DNS、加密 DNS 或浏览器自己的网络服务。
  3. 建立连接。 HTTP 请求需要先建立连接;HTTPS 还要完成 TLS 握手,确认证书、协商密钥和协议版本。
  4. 发送请求。 浏览器携带方法、路径、请求头、Cookie、缓存协商信息和安全上下文,向服务端请求资源。
  5. 接收响应。 浏览器读取状态码、响应头和响应体,判断 MIME 类型、缓存策略、重定向、跨域策略和内容安全限制。
  6. 提交导航。 当最终响应可以被当前页面处理时,浏览器选择或创建渲染进程,把字节流交给渲染进程解析。

网络阶段并不只是“下载文件”。现代浏览器会做连接复用、缓存、预连接、预加载、资源优先级、重定向处理和安全拦截。页面还没开始渲染时,性能差异就已经被网络阶段拉开。

资源加载会被调度

页面加载时,浏览器要同时处理 HTML、CSS、JavaScript、图片、字体、视频、接口请求和第三方资源。它不会按源码顺序机械下载所有内容,而会根据资源类型、阻塞关系和优先级安排调度。

HTML 是导航的入口。解析 HTML 时,浏览器会不断发现新的资源:link 指向样式表,script 指向脚本,img 指向图片,iframe 指向子页面。为了避免等主解析器慢慢读到每个资源,浏览器会使用预加载扫描器提前扫描 HTML 字节流,尽早发现关键资源并并行下载。

CSS 通常会阻塞渲染,因为浏览器需要样式信息才能决定元素最终如何显示。JavaScript 更复杂:普通同步脚本会阻塞 HTML 解析,因为脚本可能调用 document.write 或修改已经解析的 DOM。deferasync 和模块脚本改变的是脚本下载与执行相对 HTML 解析的关系。用错脚本加载方式,页面首屏会被无关代码拖慢。

资源优先级也很重要。首屏需要的 HTML、CSS、关键字体和主图,应该比折叠区域图片、统计脚本和非关键组件更早获得网络资源。浏览器会自动判断优先级,开发者也可以通过 preloadpreconnectfetchpriority、懒加载和合理拆包来给浏览器更清晰的信号。

从 HTML 到 DOM

渲染进程拿到 HTML 字节流后,会把它解析成 DOM。DOM 是一棵对象树,表示页面结构、节点关系和可被脚本操作的对象,和原始 HTML 文本处在不同抽象层。

HTML 解析是容错的。即使标签没闭合、嵌套不规范、属性写错,浏览器也会尽力构造一棵可运行的 DOM。这种容错让 Web 具备强兼容性,也意味着源码和最终 DOM 不一定完全一致。调试页面结构时,要看 DevTools 里的 DOM,不能只看原始 HTML。

DOM 构建过程中,脚本可能插入、删除、移动节点;样式表可能改变元素展示;图片和字体会异步加载;用户也可能在页面尚未完全稳定时开始交互。浏览器处理的是持续变化的活系统,而非一次性静态文档。

CSSOM、样式计算和布局

CSS 会被解析成 CSSOM。浏览器把 DOM 和 CSSOM 结合起来,为每个可见节点计算最终样式。这个过程要处理选择器匹配、继承、层叠、优先级、媒体查询、伪类、变量、默认样式和用户样式。

样式计算之后,浏览器会进入布局阶段。布局回答的问题是:每个元素在页面上占多大、放在哪里、和其他元素如何影响彼此。普通文档流、Flexbox、Grid、定位、滚动容器、字体度量和图片尺寸都会参与布局计算。

布局是昂贵操作。读取布局信息再修改样式,或在循环里反复修改 DOM,容易造成布局抖动。表现出来就是页面卡顿、滚动不顺、输入延迟。优化这类问题,不能只看 JavaScript 代码快不快,还要看代码是否触发了反复样式计算和布局。

实践上应尽量批量读写 DOM,把测量和修改分开;避免频繁访问会强制布局的属性;让动画使用 transformopacity 这类更容易交给合成线程处理的属性;对复杂列表、可视区域外内容和大 DOM 树进行约束。

绘制、分层与合成

布局决定元素位置,绘制决定像素内容。浏览器会把背景、边框、文字、图片、阴影和其他视觉效果绘制成可合成的图层。某些元素会被提升到独立合成层,例如使用 transform 的动画、视频、固定定位元素、复杂滚动区域或浏览器判断值得独立处理的内容。

合成阶段把多个图层交给 GPU 组合成最终画面。合成的好处是:某些视觉变化不需要重新布局和重新绘制,只需要移动或变换已有图层。流畅动画往往依赖这一点。

但分层并非越多越好。每个图层都消耗内存和管理成本。滥用 will-change 或制造大量合成层,会让页面占用更多显存,甚至适得其反。正确做法是让真正需要高频变化的元素进入合成路径,把静态内容留在普通绘制路径。

JavaScript 与主线程

浏览器页面中的大部分 JavaScript 在渲染进程主线程上执行。主线程还要处理 HTML 解析、样式计算、布局、绘制调度和用户输入。只要 JavaScript 长时间占住主线程,用户点击、滚动、输入和页面更新都会被延迟。

这就是长任务会伤害体验的原因。代码本身可能只是一次复杂计算、一次大 JSON 解析、一次批量 DOM 更新或一个第三方脚本初始化,但用户感受到的是页面“不听使唤”。

事件循环把宏任务、微任务、渲染机会和用户输入组织起来。Promise 回调、计时器、网络回调、用户事件、动画帧和渲染更新都要在这个模型里排队。理解事件循环,才能解释为什么某些回调顺序出乎意料,为什么微任务过多会饿死渲染,为什么 requestAnimationFrame 更适合驱动视觉更新。

大型计算应尽量拆分成小块,给浏览器留下响应输入和渲染的机会。真正耗时的任务可以移到 Web Worker。第三方脚本要严格管理,因为它们和业务代码共享主线程预算。主线程资源有限,页面响应性本质上是对主线程时间片的管理。

V8 和 JavaScript 执行

JavaScript 引擎会把源码解析成中间表示,再通过解释器和即时编译器执行。现代引擎会根据运行时反馈优化热点函数,也会在假设失效时反优化。开发者不需要记住每一层编译细节,但要理解一个原则:引擎擅长优化稳定、可预测、结构清晰的代码,频繁改变对象形状和执行路径会让优化更困难。

垃圾回收也是执行体验的一部分。大量短生命周期对象、无意保留的引用、不断膨胀的缓存和闭包捕获,都可能造成内存压力。多数回收停顿很短,但在复杂页面、低端设备或内存紧张场景里,GC 仍然可能表现为卡顿。

性能优化不要迷信微技巧。更可靠的方向是减少总 JavaScript 体积,延迟非关键代码,避免长任务,控制对象分配,减少主线程工作,把不可见区域和低优先级逻辑推迟到更合适的时机。

模块加载和依赖图

现代 Web 应用通常由模块系统组织。ES Module 让浏览器能够理解依赖关系,按模块图加载和执行代码。模块脚本默认延迟执行,并且具备静态依赖结构,这给浏览器和构建工具提供了优化空间。

但模块化也会制造新问题。依赖图过深、动态导入过碎、关键路径上串行等待、首屏包过大,都会拖慢用户看到可交互页面的速度。构建工具能拆包,但拆得好不好取决于业务边界、路由结构、组件依赖和资源优先级。

判断拆包质量时,要看用户路径,不能只看 bundle 数量。首屏需要的代码应该尽早、稳定、少依赖;低频页面、重型编辑器、图表库、管理后台能力可以延迟加载;共享依赖要避免重复下载,也要避免把低频依赖塞进所有页面。

多进程架构与站点隔离

现代浏览器采用多进程架构。浏览器进程负责全局控制,渲染进程负责页面内容,网络服务处理请求,GPU 进程负责图形相关工作,扩展、插件和工具也可能运行在独立进程中。

多进程架构的价值在于稳定性和安全性。一个标签页崩溃,不应该拖垮整个浏览器;一个恶意页面,也不应该随意访问其他站点的数据或系统资源。站点隔离进一步把不同站点放到不同进程或隔离边界里,降低跨站攻击的影响面。

这也解释了为什么 iframe、跨域资源、Cookie、存储、权限和通信规则如此复杂。浏览器要在开放 Web 和安全隔离之间取得平衡:开发者希望不同资源自由组合,安全模型又必须防止一个站点读取另一个站点的敏感内容。

浏览器安全模型

浏览器安全的基本前提是:页面内容不可信。任何网页都可能包含恶意脚本、钓鱼内容、漏洞利用或被污染的第三方资源。浏览器必须在允许网页执行复杂应用逻辑的同时,把它限制在沙箱内。

同源策略是最基础的边界。默认情况下,一个源不能随意读取另一个源的响应内容。CORS 是在受控条件下放宽这个边界。CSP 用来限制脚本、样式、图片和其他资源来源,降低注入攻击影响。Sandbox iframe、rel=noopener、权限策略、跨源隔离和安全上下文,都是在不同层面收紧能力边界。

安全策略要和浏览器模型合作,避免对抗它。开发者应尽量使用 HTTPS,设置合理 CSP,避免把不可信 HTML 直接注入页面,隔离第三方内容,谨慎授予 iframe 权限,避免混合内容和危险重定向。浏览器已经提供了很多护栏,但护栏需要被正确启用。

DevTools 是观察窗口

浏览器内部机制复杂,DevTools 是把复杂性变成可观察事实的窗口。Network 面板能看到请求顺序、缓存、阻塞、优先级、重定向和资源体积;Performance 面板能看到长任务、样式计算、布局、绘制、合成、交互延迟和帧率;Memory 面板能观察堆增长、对象保留和泄漏线索;Coverage 能发现未使用代码;Application 面板能查看缓存、存储、Service Worker 和权限状态。

调试性能问题时,不要先猜。先录制,再看主线程被谁占用;先看请求瀑布,再判断是网络慢、资源优先级错、缓存失效还是服务器响应慢;先看布局和绘制,再判断是 CSS、DOM 还是动画属性的问题。浏览器已经把大部分证据暴露出来,工程能力体现在能不能读懂这些证据。

开发者应该形成的判断

理解浏览器机制,最后要落到开发判断上:

  • 减少关键路径上的网络往返。 首屏依赖越少、越早发现、越能缓存,页面越快稳定。
  • 不要让无关脚本阻塞解析和交互。 非关键脚本延迟加载,第三方脚本严格治理,长任务拆分。
  • 把 DOM 和样式变化当作成本。 批量更新,减少强制布局,避免大 DOM 树和复杂选择器在高频路径上反复触发计算。
  • 动画优先走合成路径。 对高频视觉变化使用 transform、opacity,谨慎使用会触发布局或重绘的属性。
  • 把安全边界设计进页面结构。 第三方内容、跨源资源、用户输入和敏感权限都要有明确隔离。
  • 用 DevTools 验证直觉。 性能、内存和网络问题都要用浏览器提供的事实校准,不要只凭代码观感判断。

浏览器存在的意义,是让开发者可以用相对简单的 Web 技术构建复杂应用。它把大量底层细节藏起来,也把大量性能和安全后果留在运行时。优秀的 Web 工程师不需要掌握每个浏览器源码细节,但必须知道抽象背后有哪些关键系统在工作,以及自己的代码会怎样影响这些系统。

最后更新于 2026年6月23日
本章内容大纲