因为自己的开发环境搭建的太舒适，在别人的电脑上查问题感觉完全无法展现自己的能力。 再加上已经习惯了chrome dev tool的每一种功能，一换到safari上查兼容性问题，都感觉自己变成了白痴。 更不要说去测试webview里的问题，console都没法看，真的要一行一行alert吗？ 啥？你居然不会remote debugging！ 那你怎么证明到底是

这篇文章是个吐槽文，小伙伴们看着玩儿吧，更希望你们能跟我分享你的观点。 引子 之前有个四年换了五份工作的技术leader，过来给我们技术分享，实际也没讲什么技术，因为主要是内部后台管理系统，主要分享了下团队管理。 他说我的团队成员很幸福，我们不用antd，不好用，我自研了ui框架，小弟们只需要搭积木一样搭起来就可以了。我招的人都学会了这个框架，每次我换工作都

需求 今天遇到有业务要求我们的登录页允许被嵌在 iframe 中以满足导流需求，找安全的大佬们讨论了下，最后给出的结论是： 如果业务方的代码写的挫了点，有 xss 漏洞的话，坏人完全可以把你本来的 iframe 隐藏掉，自己写个弹框出来，这样的话用户完全无感知地被篡改了，直接输入用户名和密码，信息就被上送到了坏人的服务器。 what？还能这样吗？ 那得写多少

检测Headless Chrome/ webdriver/ selenium/ puppeteer 爬虫检测是一个攻防的过程，js是裸露在外的，在坏人手里的，我们只能想办法提高作恶的成本。 各处搜集整理信息了很久，后来发现 这篇文章 讲的非常清楚，本地化一下，加上一些自己的理解。 phantom，webdriver，puppeteer等爬虫都有设置的方法，本

上一篇中我们通过自己手写代码完成了抓取list页中的基本数据，可是沙沙又提出了新的需求，如何抓取到每个酒店的装修时间和客房数量呢？我让她自己去研究八爪鱼去了，但是如果是真的撩妹，这可不就前功尽弃了。 正好最近在研究反作弊中判断是否是webdriver，headless chrome，发现一个神器puppeteer，不需要学习python，用nodeJS就可以

本文又名十行代码帮你撩妹。 需求 今天沙沙在群里向我们紧急求助，领导让她整理【携程江湾五角场地区的260家酒店的名称，价格，地址，网址，评分信息制成excel】。 PM（也是前php开发者）咕咕推荐了【八爪鱼】这个工具，不懂技术的小白也能抓取数据。 作为一个程序员，很惭愧的说自己其实没接触过爬虫，之前说的要学python也没学几天就放弃了，现学肯定来不及了，

在开发新需求或者复现bug时，前端经常会通过代理工具将被本地修改的js，css代理到线上，这样可以不用一次一次的上线测试，在本地就可以随改随生效。 vue项目可以 npm run serve 本地跑起来，开发阶段接口调试时，最好能把所有localhost的本地接口全代理到【线上】，有很多方法。

JS并没有直接提供判断检测用户是否打开devtool的API。 思考下，打开控制台有哪些特征呢？

HTTP是无状态的协议，cookie可以用来存储用户的信息方便追踪。

今天听小伙伴分享了下CSRF攻击的原理，这次真的弄明白了CSRF。 **CSRF\(**Cross Site Request Forgery\) 是什么？跨站请求伪造。 通过CSRF攻击，坏人可以冒用你的身份（登录态）来做任何事情。因为登录态一般都是通过cookie来存储在浏览器中，要知道即使只是发起一个图片的请求，也会带上这个域下的所有cookie，可以做