CodeLittlePrince

相信很多网站都会遇到也不知道是谁，毫无目的刷网站的接口的事情。 尤其是短信接口，好像所有网站都会被人刷接口，十有八九都是短信接口的提供商找人干的。。。 其次，登录接口也是经常被刷地方，因为可以被破坏者用来爆破用户的密码。 然后，注册接口也是，不过因为国家强制要求手机号注册的原因…

最后因为用户的登录信息尚未过期，那就等于给id为888这个作品点赞了，然而，用户并不知情。 通过HTTP的referer可知道，用户是通过哪个网站发送这个请求的。但是referer的判断并不是好方法，有各种方式可以绕过的方法，具体可见 CSRF 花式绕过Referer技巧>> …

点击submit发送内容，如果前端后端都没有做任何处理的话，这段评论在提交以后就会原封不动地展示在html上。而这个时候，script里的代码执行了，导致所有访问这个页面的用户的cookie都发送到了黑客指定的API。 前端对于这种情况好像在发送到后端的过程中无能为力，即使在流…

dynamic import不知道为什么有很多叫法，什么按需加载，懒加载，Code Splitting，代码分页等。 总之，就是在SPA，把JS代码分成N个页面份数的文件，不在用户刚进来就全部引入，而是等用户跳转路由的时候，再加载对应的JS文件。 这样做的好处就是加速首屏显示速…