@fancy111
虽然我很想挺你，但你这个例子确实不对
浏览器解析 HTML 时会先解析 HTML，然后才是 JS 。也就是说你这段代码里`content.innerText='</script><script>alert(11);</script>'`的第一个`</script>`在 HTML 解析阶段被当做 script 闭合标签了

所以这段代码被交给 JS 引擎解析时是这样的
<script>
var content = document.getElementById("test");
content.innerText='
</script>

<script>
alert(11);
</script>

@moonlord
众人皆醉你独醒？

@whoami9894 #20
可以看看我这段回复 V 站是怎么过滤的，因为是标签外输出点，所以直接 HTMLencode 就完了

XSS 的话，一般情况下对所有符号（`<>"&#`）进行 HTML encode 基本就没问题了，比如 PHP 的 htmlspecialchars 函数。
不过总有一些特殊场景，还是需要开发者有足够经验，比如标签内的输出点：`<a href="javascript:\u0061\u006c\u0065\u0072\u0074(1);">click</a>`

当然 CSP 也是好办法，但一样有不少绕过方式。国内外 SRC 上经常有大厂被挖出 XSS，想一劳永逸解决？不存在的

XHR 的 timeout 设置太短了吧：`Error: timeout of 1000ms exceeded `，我这里都体验不到正常功能了

@Vegetable
确实。我原来一直以为输入法只有特殊字符会输入全角

@whoami9894 #38
笔误了
jwt_payload = urlsafe_base64_enc(HEADER + DATA) + urlsafe_base64_enc(HMAC_SHA256(HEADER + DATA, SECRET_KEY))
当然这只是一个示例，实际上 JWT 是对 HEADER 和 DATA 分别编码，然后用"."连接三段 HEADER, DATA 和 SIGN

你可以这样理解 JWT：
jwt_payload = urlsafe_base64_enc(HEADER + DATA) + HMAC_SHA256(urlsafe_base64_enc(HEADER + DATA), SECRET_KEY)
HMAC 的意义是保证了不知道 SECRET_KEY 的情况下可以拿到 DATA 明文，但无法篡改
当然这是 HS 的情况，另一种 RS 则是通过 RSA 私钥签名，公钥验证

@yech1990 具体的记不太清了，能不能实现 substitute 存疑

这篇文章是用 Clojure 举例的： https://liujiacai.net/blog/2017/10/01/macro-in-action/#syntax-quote-amp-unquote，不同方言的实现也不太一样

感觉跟语言本身的求值方式有关，函数内可以判断参数是 symbol 还是 literal，而且我试了一下 substitute 能 resolve 到外部调用函数时的 symbol 名称
没写过 R 看不太懂，什么情况下需要 substitute 函数的功能？ Lisp 的话，syntax-quote 能做到吗？

原来写的博客还有被机翻成英文抄的

Y9000X 五月新机已经确定是锐龙 4800H 了？？？

直接怼回去啊，对面试官说：问这种问题，你的水平可想而知

洗手.jpg

@fishCatcher
如果我就是冲着转正去的话，PCG 相比其他部门呢？还有我听说鹅厂内部转岗很方便，前辈了解吗？

@littleylv
阁下是 HR ？我面试完没发 Offer 的时间段里不就是回去等通知吗？
公司在多个候选人里挑最感兴趣的，同样候选人也在多个 offer 里挑最感兴趣的，很公平，有什么问题吗？

还有想请教一下鹅厂的前辈，脉脉上对 PCG 的负面评价很多，是不是真如他们所说？

我了解了一下业务：QQ，QQ 空间，腾讯体育，腾讯视频。个人感觉还行吧，不知道是否值得去呢

@jmc891205 其他的进度都没到 HR 面😭

👍👍👍