30 Ağustos 2025Türkçe

JSON modülleri için JavaScript Import Niteliklerine derinlemesine bir bakış. Yeni `with { type: 'json' }` sözdizimini, güvenlik avantajlarını ve daha temiz, güvenli ve verimli bir iş akışı için eski yöntemlerin yerini nasıl aldığını öğrenin.

JavaScript Import Nitelikleri: JSON Modüllerini Yüklemenin Modern ve Güvenli Yolu

Yıllardır JavaScript geliştiricileri, görünüşte basit bir görevle boğuşuyor: JSON dosyalarını yüklemek. JavaScript Object Notation (JSON), web'de veri alışverişi için fiili standart olmasına rağmen, JavaScript modüllerine sorunsuz bir şekilde entegre edilmesi, standart kodlar, geçici çözümler ve potansiyel güvenlik riskleriyle dolu bir yolculuk oldu. Node.js'teki senkron dosya okumalarından tarayıcıdaki ayrıntılı `fetch` çağrılarına kadar, çözümler yerel özelliklerden çok yamalar gibi hissettirdi. Artık o dönem sona eriyor.

ECMAScript dilini yöneten komite olan TC39 tarafından standartlaştırılmış modern, güvenli ve zarif bir çözüm olan Import Nitelikleri dünyasına hoş geldiniz. Basit ama güçlü `with { type: 'json' }` sözdizimi ile tanıtılan bu özellik, en yaygın olanı olan JSON'dan başlayarak, JavaScript dışı varlıkları nasıl ele aldığımızı devrim niteliğinde değiştiriyor. Bu makale, dünya çapındaki geliştiriciler için import niteliklerinin ne olduğu, çözdükleri kritik sorunlar ve daha temiz, daha güvenli ve daha verimli kod yazmak için bunları bugün nasıl kullanmaya başlayabileceğiniz konusunda kapsamlı bir kılavuz sunmaktadır.

Eski Dünya: JavaScript'te JSON'u Ele Almaya Bir Bakış

Import niteliklerinin zarafetini tam olarak takdir etmek için, önce yerini aldıkları manzarayı anlamalıyız. Ortama (sunucu tarafı veya istemci tarafı) bağlı olarak, geliştiriciler her birinin kendi ödünleri olan çeşitli tekniklere güvendiler.

Sunucu Tarafı (Node.js): `require()` ve `fs` Dönemi

Uzun yıllar Node.js'e özgü olan CommonJS modül sisteminde, JSON içe aktarmak aldatıcı bir şekilde basitti:

// Bir CommonJS dosyasında (ör. index.js) const config = require('./config.json'); console.log(config.database.host);

Bu harika çalışıyordu. Node.js, JSON dosyasını otomatik olarak bir JavaScript nesnesine ayrıştırırdı. Ancak, ECMAScript Modüllerine (ESM) yönelik küresel geçişle birlikte, bu senkron `require()` işlevi modern JavaScript'in asenkron, en üst düzeyde await bekleyen doğasıyla uyumsuz hale geldi. Doğrudan ESM karşılığı olan `import`, başlangıçta JSON modüllerini desteklemedi ve geliştiricileri daha eski, daha manuel yöntemlere geri dönmeye zorladı:

// Bir ESM dosyasında manuel dosya okuma (ör. index.mjs) import fs from 'fs'; import path from 'path'; const configPath = path.resolve('config.json'); const configFile = fs.readFileSync(configPath, 'utf8'); const config = JSON.parse(configFile); console.log(config.database.host);

Bu yaklaşımın birkaç dezavantajı vardır:

Ayrıntılı Olması: Tek bir işlem için birden çok satır standart kod gerektirir.
Senkron G/Ç: `fs.readFileSync` engelleyici bir işlemdir ve yüksek eşzamanlılık gerektiren uygulamalarda bir performans darboğazı olabilir. Asenkron bir sürüm (`fs.readFile`), geri aramalar veya Promise'ler ile daha da fazla standart kod ekler.
Entegrasyon Eksikliği: JSON dosyasını manuel olarak ayrıştırılması gereken genel bir metin dosyası olarak ele alarak modül sisteminden kopuk hissettirir.

İstemci Tarafı (Tarayıcılar): `fetch` API Standart Kodu

Tarayıcıda, geliştiriciler uzun zamandır bir sunucudan JSON verilerini yüklemek için `fetch` API'sine güvendiler. Güçlü ve esnek olmasına rağmen, basit olması gereken bir içe aktarma işlemi için de ayrıntılıdır.

// Klasik fetch deseni let config; fetch('/config.json') .then(response => { if (!response.ok) { throw new Error('Ağ yanıtı uygun değildi'); } return response.json(); // JSON gövdesini ayrıştırır }) .then(data => { config = data; console.log(config.api.key); }) .catch(error => console.error('Yapılandırma getirilirken hata oluştu:', error));

Bu desen, etkili olmasına rağmen, şu sorunlardan muzdariptir:

Standart Kod: Her JSON yüklemesi, benzer bir Promise zinciri, yanıt kontrolü ve hata yönetimi gerektirir.
Asenkronluk Yükü: `fetch`'in asenkron doğasını yönetmek, uygulama mantığını karmaşıklaştırabilir ve genellikle yükleme aşamasını yönetmek için durum yönetimi gerektirir.
Statik Analiz Yok: Bu bir çalışma zamanı çağrısı olduğu için, derleme araçları bu bağımlılığı kolayca analiz edemez ve potansiyel olarak optimizasyonları kaçırabilir.

Bir Adım İleri: İddialarla Dinamik `import()` (Öncül)

Bu zorlukları fark eden TC39 komitesi, ilk olarak Import İddiaları'nı (Import Assertions) önerdi. Bu, geliştiricilerin bir içe aktarma hakkında meta veri sağlamasına olanak tanıyan, çözüme yönelik önemli bir adımdı.

// Orijinal Import İddiaları teklifi const configModule = await import('./config.json', { assert: { type: 'json' } }); const config = configModule.default;

Bu çok büyük bir gelişmeydi. JSON yüklemesini ESM sistemine entegre etti. `assert` ifadesi, JavaScript motoruna yüklenen kaynağın gerçekten bir JSON dosyası olduğunu doğrulamasını söyledi. Ancak, standardizasyon sürecinde, önemli bir anlamsal ayrım ortaya çıktı ve bu da onun Import Niteliklerine evrilmesine yol açtı.

Import Nitelikleri Sahneye Çıkıyor: Bildirimsel ve Güvenli Bir Yaklaşım

Motor uygulayıcılarından gelen kapsamlı tartışma ve geri bildirimlerin ardından, Import İddiaları Import Nitelikleri (Import Attributes) olarak geliştirildi. Sözdizimi ince bir şekilde farklıdır, ancak anlamsal değişiklik derindir. Bu, JSON modüllerini içe aktarmanın yeni, standartlaştırılmış yoludur:

Statik İçe Aktarma: import config from './config.json' with { type: 'json' };

Dinamik İçe Aktarma: const configModule = await import('./config.json', { with: { type: 'json' } }); const config = configModule.default;

`with` Anahtar Kelimesi: Bir İsim Değişikliğinden Daha Fazlası

`assert`'ten `with`'e geçiş sadece kozmetik değildir. Amaçta temel bir değişikliği yansıtır:

`assert { type: 'json' }`: Bu sözdizimi, bir yükleme sonrası doğrulama anlamına geliyordu. Motor modülü getirir ve ardından iddianın eşleşip eşleşmediğini kontrol ederdi. Eşleşmezse, bir hata fırlatırdı. Bu öncelikle bir güvenlik kontrolüydü.
`with { type: 'json' }`: Bu sözdizimi, bir yükleme öncesi direktif anlamına gelir. Ev sahibi ortama (tarayıcı veya Node.js) modülün en başından itibaren nasıl yükleneceği ve ayrıştırılacağı hakkında bilgi verir. Bu sadece bir kontrol değil; bir talimattır.

Bu ayrım çok önemlidir. `with` anahtar kelimesi JavaScript motoruna, "Bir kaynak içe aktarmayı planlıyorum ve size yükleme sürecine rehberlik edecek nitelikler sağlıyorum. Bu bilgiyi doğru yükleyiciyi seçmek ve doğru güvenlik politikalarını baştan uygulamak için kullanın." der. Bu, daha iyi optimizasyon ve geliştirici ile motor arasında daha net bir sözleşme sağlar.

Bu Neden Oyunun Kurallarını Değiştiriyor? Güvenlik Zorunluluğu

İçe aktarma niteliklerinin en önemli tek faydası güvenliktir. Uzaktan Kod Yürütme (RCE) ile sonuçlanabilen MIME türü karışıklığı olarak bilinen bir saldırı sınıfını önlemek için tasarlanmışlardır.

Belirsiz İçe Aktarmalarla RCE Tehdidi

Bir sunucudan bir yapılandırma dosyasını yüklemek için dinamik bir içe aktarmanın kullanıldığı, içe aktarma nitelikleri olmayan bir senaryo hayal edin:

// Potansiyel olarak güvensiz içe aktarma const { settings } = await import('https://api.example.com/user-settings.json');

Peki ya `api.example.com` adresindeki sunucu ele geçirilirse? Kötü niyetli bir aktör, `.json` uzantısını korurken `user-settings.json` uç noktasını bir JSON dosyası yerine bir JavaScript dosyası sunacak şekilde değiştirebilir. Sunucu, `Content-Type` başlığı `text/javascript` olan yürütülebilir kodu geri gönderirdi.

Türü kontrol edecek bir mekanizma olmadan, JavaScript motoru JavaScript kodunu görebilir ve onu yürütebilir, bu da saldırgana kullanıcının oturumu üzerinde kontrol sağlar. Bu ciddi bir güvenlik açığıdır.

Import Nitelikleri Riski Nasıl Azaltır?

Import nitelikleri bu sorunu zarif bir şekilde çözer. İçe aktarmayı nitelikle yazdığınızda, motorla katı bir sözleşme oluşturursunuz:

// Güvenli içe aktarma const { settings } = await import('https://api.example.com/user-settings.json' with { type: 'json' });

Şimdi olanlar şunlardır:

Tarayıcı `user-settings.json` dosyasını talep eder.
Şimdi ele geçirilmiş olan sunucu, JavaScript kodu ve `Content-Type: text/javascript` başlığı ile yanıt verir.
Tarayıcının modül yükleyicisi, yanıtın MIME türünün (`text/javascript`) içe aktarma niteliğinden beklenen türle (`json`) eşleşmediğini görür.
Dosyayı ayrıştırmak veya yürütmek yerine, motor hemen bir `TypeError` fırlatır, işlemi durdurur ve herhangi bir kötü amaçlı kodun çalışmasını engeller.

Bu basit ekleme, potansiyel bir RCE güvenlik açığını güvenli, öngörülebilir bir çalışma zamanı hatasına dönüştürür. Verilerin veri olarak kalmasını ve asla yanlışlıkla yürütülebilir kod olarak yorumlanmamasını sağlar.

Pratik Kullanım Durumları ve Kod Örnekleri

JSON için import nitelikleri sadece teorik bir güvenlik özelliği değildir. Çeşitli alanlarda günlük geliştirme görevlerine ergonomik iyileştirmeler getirirler.

1. Uygulama Yapılandırmasını Yükleme

Bu klasik kullanım durumudur. Manuel dosya G/Ç yerine, artık yapılandırmanızı doğrudan ve statik olarak içe aktarabilirsiniz.

Dosya: `config.json` { "database": { "host": "db.production.example.com", "port": 5432, "user": "api_user" }, "featureFlags": { "newDashboard": true, "enableLogging": false } }

Dosya: `database.mjs` import config from './config.json' with { type: 'json' }; export function getDbHost() { return config.database.host; } console.log(`Veritabanına bağlanılıyor: ${getDbHost()}`);

Bu kod temiz, bildirimsel ve hem insanlar hem de derleme araçları için anlaşılması kolaydır.

2. Uluslararasılaştırma (i18n) Verileri

Çevirileri yönetmek de mükemmel bir uyum sağlar. Dil dizelerini ayrı JSON dosyalarında saklayabilir ve gerektiğinde içe aktarabilirsiniz.

Dosya: `locales/en-US.json` { "welcomeMessage": "Hello, welcome to our application!", "logoutButton": "Log Out" }

Dosya: `locales/es-MX.json` { "welcomeMessage": "¡Hola, bienvenido a nuestra aplicación!", "logoutButton": "Cerrar Sesión" }

Dosya: `i18n.mjs` // Varsayılan dili statik olarak içe aktar import defaultStrings from './locales/en-US.json' with { type: 'json' }; // Kullanıcı tercihine göre diğer dilleri dinamik olarak içe aktar async function getTranslations(locale) { if (locale === 'es-MX') { const module = await import('./locales/es-MX.json', { with: { type: 'json' } }); return module.default; } return defaultStrings; } const userLocale = 'es-MX'; const strings = await getTranslations(userLocale); console.log(strings.welcomeMessage); // İspanyolca mesajı verir

3. Web Uygulamaları için Statik Veri Yükleme

Bir açılır menüyü ülke listesiyle doldurduğunuzu veya bir ürün kataloğu görüntülediğinizi hayal edin. Bu statik veri bir JSON dosyasında yönetilebilir ve doğrudan bileşeninize aktarılabilir.

Dosya: `data/countries.json` [ { "code": "US", "name": "United States" }, { "code": "DE", "name": "Germany" }, { "code": "JP", "name": "Japan" } ]

Dosya: `CountrySelector.js` (varsayımsal bileşen) import countries from '../data/countries.json' with { type: 'json' }; export class CountrySelector { constructor(elementId) { this.element = document.getElementById(elementId); this.render(); } render() { const options = countries.map(country => `` ).join(''); this.element.innerHTML = options; } } // Kullanım new CountrySelector('country-dropdown');

Kaputun Altında Nasıl Çalışır: Ev Sahibi Ortamın Rolü

İçe aktarma niteliklerinin davranışı ev sahibi ortam tarafından tanımlanır. Bu, tarayıcılar ve Node.js gibi sunucu tarafı çalışma zamanları arasında uygulamada küçük farklılıklar olduğu, ancak sonucun tutarlı olduğu anlamına gelir.

Tarayıcıda

Bir tarayıcı bağlamında, süreç HTTP ve MIME türleri gibi web standartlarıyla sıkı bir şekilde bağlantılıdır.

Tarayıcı `import data from './data.json' with { type: 'json' }` ile karşılaştığında, `./data.json` için bir HTTP GET isteği başlatır.
Sunucu isteği alır ve JSON içeriğiyle yanıt vermelidir. Önemli olarak, sunucunun HTTP yanıtı şu başlığı içermelidir: `Content-Type: application/json`.
Tarayıcı yanıtı alır ve `Content-Type` başlığını inceler.
Başlığın değerini içe aktarma niteliğinde belirtilen `type` ile karşılaştırır.
Eşleşirlerse, tarayıcı yanıt gövdesini JSON olarak ayrıştırır ve modül nesnesini oluşturur.
Eşleşmezlerse (örneğin, sunucu `text/html` veya `text/javascript` gönderdiyse), tarayıcı modül yüklemesini bir `TypeError` ile reddeder.

Node.js ve Diğer Çalışma Zamanlarında

Yerel dosya sistemi işlemleri için Node.js ve Deno, MIME türlerini kullanmaz. Bunun yerine, dosyanın nasıl ele alınacağını belirlemek için dosya uzantısı ve içe aktarma niteliğinin bir kombinasyonuna güvenirler.

Node.js'in ESM yükleyicisi `import config from './config.json' with { type: 'json' }` gördüğünde, önce dosya yolunu tanımlar.
Dahili JSON modül yükleyicisini seçmek için `with { type: 'json' }` niteliğini güçlü bir sinyal olarak kullanır.
JSON yükleyici, dosya içeriğini diskten okur.
İçeriği JSON olarak ayrıştırır. Dosya geçersiz JSON içeriyorsa, bir sözdizimi hatası fırlatılır.
Bir modül nesnesi oluşturulur ve genellikle ayrıştırılmış veriler `default` dışa aktarımı olarak döndürülür.

Nitelikten gelen bu açık talimat, belirsizliği ortadan kaldırır. Node.js, içeriği ne olursa olsun, dosyayı JavaScript olarak yürütmeye çalışmaması gerektiğini kesin olarak bilir.

Tarayıcı ve Çalışma Zamanı Desteği: Üretime Hazır mı?

Yeni bir dil özelliğini benimsemek, hedef ortamlardaki desteğinin dikkatli bir şekilde değerlendirilmesini gerektirir. Neyse ki, JSON için import nitelikleri JavaScript ekosisteminde hızlı ve yaygın bir şekilde benimsenmiştir. 2023'ün sonları itibarıyla, modern ortamlardaki destek mükemmeldir.

Google Chrome / Chromium Motorları (Edge, Opera): 117 sürümünden beri desteklenmektedir.
Mozilla Firefox: 121 sürümünden beri desteklenmektedir.
Safari (WebKit): 17.2 sürümünden beri desteklenmektedir.
Node.js: 21.0 sürümünden beri tam olarak desteklenmektedir. Daha önceki sürümlerde (ör. v18.19.0+, v20.10.0+), `--experimental-import-attributes` bayrağının arkasında mevcuttu.
Deno: İlerici bir çalışma zamanı olarak Deno, bu özelliği (iddialardan evrilerek) 1.34 sürümünden beri desteklemektedir.
Bun: 1.0 sürümünden beri desteklenmektedir.

Daha eski tarayıcıları veya Node.js sürümlerini desteklemesi gereken projeler için, Vite, Webpack (uygun yükleyicilerle) ve Babel (bir dönüştürme eklentisiyle) gibi modern derleme araçları ve paketleyiciler, yeni sözdizimini uyumlu bir formata dönüştürerek bugün modern kod yazmanıza olanak tanır.

JSON'un Ötesinde: Import Niteliklerinin Geleceği

JSON ilk ve en belirgin kullanım durumu olsa da, `with` sözdizimi genişletilebilir olacak şekilde tasarlanmıştır. Modül içe aktarmalarına meta veri eklemek için genel bir mekanizma sağlar ve diğer JavaScript dışı kaynak türlerinin ES modül sistemine entegre edilmesinin önünü açar.

CSS Modül Betikleri

Ufuktaki bir sonraki büyük özellik CSS Modül Betikleridir. Teklif, geliştiricilerin CSS stil sayfalarını doğrudan modül olarak içe aktarmasına olanak tanır:

import sheet from './styles.css' with { type: 'css' }; document.adoptedStyleSheets = [sheet];

Bir CSS dosyası bu şekilde içe aktarıldığında, programlı olarak bir belgeye veya gölge DOM'a uygulanabilen bir `CSSStyleSheet` nesnesine ayrıştırılır. Bu, web bileşenleri ve dinamik stil oluşturma için ileriye doğru büyük bir sıçramadır ve DOM'a manuel olarak `