网络安全指北之防止 XSS 的典型套路

Posted on 六 28 2月 2026 in Tech • Tagged with security, xss, owasp, 安全, web

XSS(Cross-Site Scripting,跨站脚本攻击)是 Web 安全里最常见的注入类漏洞之一。本文用通俗类比从 What/Why/How 说起,面向小白讲清楚 XSS 是什么、为什么危险、怎么防,给出 Java/Go/Python 三语言正反示例与常用框架,最后收束成防御套路与自检清单。


Continue reading

AI 时代的软件工程

Posted on 六 28 2月 2026 in Tech • Tagged with tech, blog, ai, 软件工程

AI 让"写代码"更便宜, 但让"证明没坑"更贵。软件工程的重心正在从"把需求写成代码", 转向"能力编排与治理": 把 prompt 当契约, 把评估当门禁, 把可观测性当边界, 把回滚当退路。


Continue reading

网络安全指北: 为什么 BAC 访问控制失效总能霸榜

Posted on 六 28 2月 2026 in Tech • Tagged with security, owasp, access-control, bac, 安全, 访问控制

OWASP Top 10 每隔几年更新一次,榜首却从未换过——BAC(Broken Access Control,访问控制失效)连续霸榜。本文从这个现象出发,用酒店房卡类比说清楚 BAC 是什么、为何难做对、典型场景和缓解措施,并给出 Java/Go/Python 三语言正反示例、常用框架、最佳实践和自检清单。


Continue reading

微服务之外:被忽视的 "SDK 治理"

Posted on 六 28 2月 2026 in Tech • Tagged with sdk, 微服务, 治理, contract-testing, semver

微服务要治理,SDK 同样要治理;区分业务 SDK(语义漂移)与基础设施 SDK(默认策略改变),二者均非零风险;只共享能力不共享决策,显式语义与三层防爆模型。


Continue reading

claude code 平替: opencode + deepseek/qwen

Posted on 三 25 2月 2026 in Tech • Tagged with opencode, claude-code, qwen, deepseek, openai-compatible, ai-sdk, tls, ca

用 opencode 接入公司私有部署的 Qwen/DeepSeek(OpenAI-compatible API),日常写代码、改文档基本够用,还能省掉订阅费与 token 焦虑;关键是把 TLS 自签证书这关过掉,别用“关掉校验”这种野路子。


Continue reading

Go crypto/tls Config.Clone session resumption pitfalls (CVE-2025-68121)

Posted on 三 25 2月 2026 in Tech • Tagged with go, security, tls, cve

CVE-2025-68121 涉及 Go crypto/tls 的两个会话恢复(session resumption)问题:Config.Clone 复制了自动生成的 session ticket keys,导致不同 tls.Config 之间意外共享会话票据;以及服务端在判断会话是否可恢复时,只检查 leaf 证书过期而忽略完整证书链,可能让过期链条下的会话继续被恢复。


Continue reading

设计一个学习职场英语的 AI Agent(LLM Agent 架构 + 日常闭环 + 打分)

Posted on 一 23 2月 2026 in Tech • Tagged with ai-agent, llm, agents, learning, spaced-repetition, english

一份纯技术向的设计:用 LLM-powered agent 跑一个固定的日常学习闭环(morning learn → evening test → next-day review),并用双维度打分管理句子库:实用度(1–5)与熟练度(1–5)。


Continue reading

什么是时序攻击(Timing Attack)?

Posted on 四 12 2月 2026 in Tech • Tagged with security, timing-attack, constant-time, authentication, crypto

==strings.Compare 比较密钥、密码或 HMAC 时,比较时间会随 "猜对多少" 变化,攻击者可以按响应时间逐字节猜出秘密;一文说清原理与常数时间比较的用法。


Continue reading

微服务的三大安全威胁

Posted on 四 12 2月 2026 in Tech • Tagged with microservices, security, service-mesh, privilege-escalation, injection, SSRF

在微服务与服务网格环境下,最常被利用的往往不是 "高大上" 的零日漏洞,而是权限提升、注入与 SSRF;本文用具体例子说明这三类威胁及应对思路。


Continue reading

为什么要尽量少用 Go 里的 unsafe

Posted on 三 11 2月 2026 in Tech • Tagged with Go, unsafe, memory-safety, best-practices

unsafe 能绕过类型系统做“危险动作”,但代价是内存安全、可移植性和可维护性;什么时候非用不可、怎么用才不踩雷,一文说清。


Continue reading

Vue.js 应用的"白屏死机":原因排查与解决方案全攻略

Posted on 二 03 2月 2026 in Tech • Tagged with Vue.js, frontend, debugging, deployment, troubleshooting

Vue 应用打包部署后一片空白?控制台报 404?本地跑得好好的,上线就白给?这篇文章帮你系统排查 Vue.js 白屏问题的七大元凶,附带可直接抄的解决方案。


Continue reading

Debug Build 的两种哲学:C++ 宏 vs Go 链接器注入

Posted on 二 03 2月 2026 in Tech • Tagged with C++, Go, build, debugging, compilation, best-practices

从 C++ 的 -DDEBUG 宏到 Go 的 -ldflags -X,聊聊两种语言在"条件编译"上的不同哲学,以及 Go 独有的 Build Tags 玩法。


Continue reading

职场工具箱之 PDCA:高手做事,都有一个"闭环"

Posted on 三 28 1月 2026 in Tech • Tagged with 职场, PDCA, 闭环思维, 持续改进, 职场方法论, 敏捷开发, Scrum, CI/CD, 迭代

领导最怕什么?"那个事后来怎么样了?""呃……"如果你经常被这个问题问住,说明你做事没有"闭环"。本文介绍 PDCA 循环——一个用了 70 年的持续改进框架,并从软件工程角度阐述 PDCA 与敏捷开发、CI/CD 的最佳实践,帮你从"做了"变成"做成了"。


Continue reading

悲观锁、乐观锁、无锁:Go 并发控制的三种姿势

Posted on 三 28 1月 2026 in Tech • Tagged with Go, concurrency, lock, mutex, atomic, channel, performance

并发编程最怕什么?数据竞争。解决数据竞争最常见的方法是加锁,但锁也分三六九等。本文用 Go 代码实战,带你理解悲观锁、乐观锁、无锁三种并发控制策略的原理、实现和适用场景。


Continue reading

Python 编程的常见陷阱与奇巧淫技

Posted on 二 27 1月 2026 in Tech • Tagged with python, programming, tips, traps, best-practices

Python 入门容易精通难。这篇文章整理了 10 大经典陷阱(可变默认参数、闭包绑定、浮点精度、GIL...)和 10 小窍门(海象运算符、collections、itertools...),附带工程建议和 Checklist,帮你写出稳定、高效、可维护的 Python 代码。


Continue reading

从过程式、命令式到声明式:编程与运维的一次“权力转移”

Posted on 二 27 1月 2026 in Tech • Tagged with programming, DevOps, Declarative, Kubernetes, Terraform, GitOps, Infrastructure as Code

过程式是“我来一步步做”,命令式是“你按我说的做”,声明式是“我只说我想要什么,怎么做到你自己想办法”。这背后不是语法之争,而是复杂系统时代的协作方式升级。


Continue reading

在 EKS 上给 Pod 绑 IAM Role:IRSA(ServiceAccount + OIDC)到底怎么回事

Posted on 日 25 1月 2026 in Tech • Tagged with Kubernetes, EKS, AWS, IAM, IRSA, OIDC, security, STS

Node Role 像一把“万能钥匙”。IRSA 让你把权限精确绑定到 Pod:用 Kubernetes 的 ServiceAccount token 走 OIDC 联邦,去 STS 换临时凭证。


Continue reading

在树莓派上玩 K3s:从安装到实战,打造你的私人 Kubernetes 集群

Posted on 六 24 1月 2026 in Tech • Tagged with Kubernetes, raspberry-pi, homelab, edge-computing, IoT

一篇关于在树莓派上安装和使用 K3s 的实战指南,涵盖安装步骤、典型用例和最佳实践


Continue reading

Go 程序崩溃分析实战:从 Coredump 到根因定位

Posted on 五 23 1月 2026 in Tech • Tagged with Go, debugging, coredump, delve, crash, panic

一篇关于 Go 程序崩溃分析的实战指南,涵盖 coredump 生成、分析方法和预防措施


Continue reading

C 与 C++:一对父子的渐行渐远

Posted on 六 17 1月 2026 in Tech • Tagged with C, C++

很多人以为 C++ 就是 "C with Classes",但现代 C++ 早已面目全非。本文带你梳理 C 和 C++ 的核心差异,以及 C++11 到 C++23 的革命性变化——如果你还在写 C++98 风格的代码,是时候升级了。


Continue reading