最近有白帽反馈了接入Sentry的安全漏洞，坏人可以进行SSRF攻击（Server-Side Request Forgery），其实还是挺普遍的，让我们来了解下。

一次页面引用不同版本webpack打包的js导致的问题。

思考 写了那么多小程序，你思考过小程序的安全问题么？ 为什么小程序支持跨域？ 小程序中有xss，crsf攻击吗？ 为什么小程序只支持request cookie，不支持response set cookie呢？ 为什么小程序不支持动态加载js？什么叫动态加载js？eval和new Function有什么可怕之处？ 真的没有绕过小程序审核热更新的方法吗？ 小程

从后端国际化转向了使用vue-i18n前端国际化，不再会出现因为资源缺失导致的service error了，近期又全面整理了下国际化中踩过的坑，分享给大家。

看到一个抢红包的活动页，准备把接口copy出来自动测试却发现403了，这种情况一般都是因为有 referrer 校验。我们也经常会通过 referrer 白名单来限制接口的盗用，今天来分析下可能存在的攻击点。

除了写出高性能的算法，面对复杂的业务逻辑，画出清晰的mind map 往往会达到事半功倍的效果。

记录localStorage在实践中遇到的具体问题。

引子 接手八年没重构的老项目，每个字符都透露着远古时期历史的气息，之前的你可能不懂那些性能优化上的思考，看了这种古老的项目，你马上就能get到现代文明之光的美好。 重写不是没想过的，一万次深呼吸准备大干一场，一万次管住了自己爪爪。 你还年轻，谁知道哪个页面是需要用的，哪里会藏着深坑。 加一些打点统计，熟悉代码好几年，终于可以开始重构了，但是当然不能操之过急，

遇上有人反馈bug你一般都怎么处理？

上篇说到iframe弹窗的登录安全，接下来我们带着问题出发，详细的了解下iframe这个历史的产物。 虽然足够古老，但是也能解决很多现代的问题。