进一寸有一寸的欢喜

因为自己的开发环境搭建的太舒适，在别人的电脑上查问题感觉完全无法展现自己的能力。

再加上已经习惯了chrome dev tool的每一种功能，一换到safari上查兼容性问题，都感觉自己变成了白痴。

更不要说去测试webview里的问题，console都没法看，真的要一行一行alert吗？

啥？你居然不会remote debugging！

那你怎么证明到底是你还是native 开发的锅？啥证据都没有。

虽然模拟器也能完成调试的功能，但是不能完全依赖模拟的结果，而且有些特定的机型并没有模拟器，有时候必须要在真机上复现问题，最重要的是模拟器没有chrome devtools呀。

这篇文章是个吐槽文，小伙伴们看着玩儿吧，更希望你们能跟我分享你的观点。

引子

之前有个四年换了五份工作的技术leader，过来给我们技术分享，实际也没讲什么技术，因为主要是内部后台管理系统，主要分享了下团队管理。

他说我的团队成员很幸福，我们不用antd，不好用，我自研了ui框架，小弟们只需要搭积木一样搭起来就可以了。我招的人都学会了这个框架，每次我换工作都带着他们一起换。

需求

今天遇到有业务要求我们的登录页允许被嵌在 iframe 中以满足导流需求，找安全的大佬们讨论了下，最后给出的结论是：

如果业务方的代码写的挫了点，有 xss 漏洞的话，坏人完全可以把你本来的 iframe 隐藏掉，自己写个弹框出来，这样的话用户完全无感知地被篡改了，直接输入用户名和密码，信息就被上送到了坏人的服务器。

what？还能这样吗？ 那得写多少代码才能覆盖掉弹窗再伪造一个出来啊！

作为一个小白我算是长见识了。但是经过尝试，其实并不是那么回事。

检测Headless Chrome/ webdriver/ selenium/ puppeteer

爬虫检测是一个攻防的过程，js是裸露在外的，在坏人手里的，我们只能想办法提高作恶的成本。

各处搜集整理信息了很久，后来发现 这篇文章 讲的非常清楚，本地化一下，加上一些自己的理解。

phantom，webdriver，puppeteer等爬虫都有设置的方法，本文主要从puppeteer来分析。

上一篇中我们通过自己手写代码完成了抓取list页中的基本数据，可是沙沙又提出了新的需求，如何抓取到每个酒店的装修时间和客房数量呢？我让她自己去研究八爪鱼去了，但是如果是真的撩妹，这可不就前功尽弃了。

正好最近在研究反作弊中判断是否是webdriver，headless chrome，发现一个神器puppeteer，不需要学习python，用nodeJS就可以搞定，我的键盘已经等不及了，用了一天时间研究，分享给大家。

其实主要是async和await的理解不够深刻，多花费了时间，实际上聪明如你半个小时应该就可以学会。