最近有白帽反馈了接入Sentry的安全漏洞，坏人可以进行SSRF攻击（Server-Side Request Forgery），其实还是挺普遍的，让我们来了解下。

一次页面引用不同版本webpack打包的js导致的问题。

思考 写了那么多小程序，你思考过小程序的安全问题么？ 为什么小程序支持跨域？ 小程序中有xss，crsf攻击吗？ 为什么小程序只支持request cookie，不支持response set cookie呢？ 为什么小程序不支持动态加载js？什么叫动态加载js？eval和new Function有什么可怕之处？ 真的没有绕过小程序审核热更新的方法吗？ 小程

从后端国际化转向了使用vue-i18n前端国际化，不再会出现因为资源缺失导致的service error了，近期又全面整理了下国际化中踩过的坑，分享给大家。

看到一个抢红包的活动页，准备把接口copy出来自动测试却发现403了，这种情况一般都是因为有 referrer 校验。我们也经常会通过 referrer 白名单来限制接口的盗用，今天来分析下可能存在的攻击点。