這是一篇普通上班族從 0 開始研究自住買房的歷程紀錄，在手感還溫熱的時候分享這 6 個月的經歷與進步，如果你也是平常忙於提升本業沒空研究房地產，回過神才發現房價漲幅已遠遠超過薪資漲幅的受薪族，那麼歡迎往下看。文章會分為幾個部分：1. 了解市況的過程 2. 怎麼開始做功課 3…

前陣子被邀請去一個讀書會分享自己在日本的心得感想，以及日本軟體工程師產業的現況，就有順便整理了不少資料，想說那不如就寫一篇來分享。 在開始之前，要先跟各位讀者分享我覺得在讀這類型的文章前非常重要的事情。首先，只有經驗分享是沒有用的，沒有搭配上背景跟條件，就沒什麼參考價值。 舉個例子，如果有個人說..

這幾年工作上遭遇的挫折累積下來，不禁會反問自己：「我是不是不適合做 PM？」如果不繼續做 PM，那我還可以做什麼？

原本其實懶得寫遊記，但玩一玩想說這次也去了不少地方，寫篇文章記錄一下也不錯。文章基本上會是我最愛的流水帳體，紀錄每一天去了哪裡，順便記一下花了多少錢。

最近有人在臉書前端交流社群發了一則貼文，內容是他看到了一個問題：請問登入api傳賬號、密碼json明碼會有問題嗎?，想知道大家對這個問題的看法。 而底下的回答大部份都是覺得「有用 HTTPS 就好了，沒必要額外再實作一層加密，沒有什麼太大的意義」 老實說我以前也是這樣認為的，而且過去在社群中就有出現過類似的討論。我那時候想說都已經有 HTTPS 了，而 HTTPS 本身的目的就是為了保障傳輸的安全

從美國舊金山回來 不太喜歡被定調的Gino #受邀雜誌的訪問 #分享創業甘苦談 #SF

在講到針對網頁前端的攻擊時，你我的心中浮現的八成會是 XSS，但如果你沒辦法在網頁上執行 JavaScript，有沒有其他的攻擊手法呢？例如說，假設可以插入 style 標籤，你能夠做些什麼？ 在 2018 年的時候，我有寫過一篇 CSS keylogger：攻擊與防禦，那時剛好在 Hacker News 上面看到相關的討論，於是就花了點時間研究了一下。 而 4 年後的現在，我從資安的角度重新

書名：Beyond XSS：探索網頁前端資安宇宙，ISBN：6267383806，作者：胡立(Huli)，出版社：深智數位，出版日期：2024-07-19，分類：資訊安全

如果有看過我的部落格的話，應該會知道我一直都是寫 React，完全沒有碰過 Vue，也沒有碰過 Angular。自從 2015 年接觸到 React 後，工作上就一直是用 React 了。 然而，最近因為工作上的需求，所以開始寫 Vue 了，而剛好也有讀者來問我從 React 跳到 Vue 的心得，因此這邊就簡單寫一篇來分享。

在上一篇有提到我把新手任務都跑得差不多了，但還剩下一個最麻煩的新手村大魔王，那就是租房了。 來日本一個多月以後，終於把租房以及房內的一些家具搞定了，也已經順利入住，並且有水電瓦斯以及馬斯洛需求理論的最底層：網路。趁著記憶猶新，是時候來寫一篇詳細講講租房的心得了。 對了，我之前在台灣的時候基本上都..

前言前陣子因為要辦日本的工作簽證，所以找了一些資料。關於「只有高中學歷能不能辦到日本工作簽證」這件事情，網路上的中文討論其實很少，雖然可以找到零星一兩個成功案例，但也可以看到很多人會說高中學歷辦不過，或甚至有些討論著重的點變成「先找願意錄取你的公司再說」，已經不是在討論簽證了。 這一篇不考慮「如..

近期我以零日文基礎的身份開始唸書並通過了日本的基本情報技術者以及情報セキュリティマネジメント試験，這篇會分享我是怎麼準備的，又運用了哪些考試技巧��� 文章大綱如下： 為什麼要考這兩個考試？ 日本 IPA 相關證照簡介 情報セキュリティマネジメント試験在考什麼？ 基本情報技術者試験在考什麼？ 我是怎麼準備考試的？策略是什麼？ 考試如何進行？ 考試的心得以及分數

去年十一月的時候我有寫了一篇《近況更新：轉職資安的一年後》，文章最後有提到我換去了一個做 Web3 的團隊，接觸了全新的工作內容。換團隊以後過了大概 9 個月，也就是標題所指的 0.75 年，寫篇心得來幫自己在加密貨幣產業相關業界打滾的職涯做個總結。

（這張橫濱的圖片拍攝於 2023 年 12 月，我還在 29 歲的時候，但與文章內容沒什麼關係） 其實原本打算在 30 歲生日的時候寫篇文章整理並分享一下自己的近況，至於為什麼要這麼做，純粹是為了個人喜好。 在看其他人的部落格時，我最有興趣的頁面是「關於我」，想知道他在哪裡工作，職業是什麼，信..

一條透過努力能夠成為世界級軟體工程師的道路

大概是從一兩年前開始，覺得生活的主導權並不在自己身上。

身為一個軟體工程師，對資訊安全一定不陌生。在工作上的專案可能有經過資安的審核，包括靜態程式碼掃描、弱點掃描或是滲透測試等等，再更進階一點可能做過更全面的紅隊演練。除此之外，也可能聽過什麼是 OWASP，大概知道 OWASP top 10 包含了哪些東西，知道常見的資安漏洞有哪些。

前一篇中有提到各種 XSS 情境以及執行程式碼的方式，講到了一種叫做 javascript: 偽協議的東西，我覺得這個就算放在現代前端的角度來看，也是開發者需要特別留意的一環。 因此，值得特別寫一篇來...

Subscribe for more short comedy sketches & films: http://bit.ly/laurisb Buy Expert shirts & hoodies at https://laurisb.myshopify.com/ Funny business meeting ...

其實我從來沒有計劃要寫這種類型的文章，只是最近有個網友透過 Medium 的 private note 功能問我如何提升英文能力，我就想到說這已經不是第一次有人問過我這個問題了。

CTF，全名為 Capture the flag，直翻的話就是「奪旗」，是一種考驗資安技術的比賽。雖然說是比賽，但我更喜歡當作是一款線上遊戲在玩就是了（因為許多元素真的滿類似的）。

說要從 Medium 搬家說了很久，這次總算付諸行動啦！ 這篇就來記錄一下搬家的理由以及心得。 搬家的理由一、使用者體驗變差無論是免費文章還是付費文章，如果沒有登入 Medium 的話，在看文章的時候都會跳一個好大的視窗要你登入，使用者體驗很差。 雖然這改很久了，但我是之前偶然間才發現原來體驗這..

最近看到前端臉書討論區的一篇貼文之後有一些感想，就順便寫下來了。 那篇貼文主要是在說不要把自己侷限在前端工程師，整個網頁的世界還有很多值得探索的地方，例如說後端啦或是一些部署的東西等等。 雖然說我不覺得每個人都需要往全端邁進，都必須擁有「可以在工作上寫後端程式碼」的能力，但我認同這個概念的大方向..

最近終於把來日本的新手任務跑得差不多了，在解任務之前參考了許多網路上的資料，可以說是獲益良多，我覺得這些新手任務真的超級需要攻略，真的很有幫助，我會在文末附上當初有參考到的資料。 底下就按照當初解任務的時間序來撰寫，基本上會包含所有來日本工作的必備流程。這篇只會講到「找到工作以後會跑的流程」，不..

去年的 6 月 5 號，我在 Medium 發了這篇文章：暫別前端，重新開始，裡面提到了我從 2021 年 5 月份開始在公司內轉成資安工程師，暫時不寫前端了。

身為一個哩程界的新手，程度大概就只到看了一些網路文章並找了資料之後，覺得可以用哩程來換商務艙機票很划算，僅此而已。就算自己目前有累積了一些哩程，其實還沒有太多開過票的經驗。 至於原因的話，就是懶吧，每一間航空公司的規則都不一樣，而且有許多東西是規則上不會寫的，例如說票放得多不多，什麼時候的票比較..

從規範文件深入了解瀏覽器的事件迴圈及其相關議題

Regular expression，中文又翻作「正規表達式」或是「正規表示式」等等（以下簡稱 regexp），主要是用來做字串的配對，寫好一個模式之後，就可以拿來配對到符合規則的文字。 無論是電話號碼、Email 或是身分證字號等等，都可以運用 regexp 來完成初步的格式驗證，確保字串的格式與特定規則相符合。 Regexp 雖然方便，但沒寫好的話有可能導致一些輸入的驗證被繞過，演變成資安問題

This talk is an introduction to front-end security, including XSS, CSP, CSRF, XSLeaks and so on. 這是我之前去趨勢內部分享的一個講題，主要是有關於前端資訊安全，談到了一些經典的主題像是 XSS, CS…

Learn how and where to store tokens used in token-based authentication.

今年認真跟著 Water Paddler 打了一整年的 CTF，看到有人整理出了一篇 CTF: Best Web Challenges 2022，發現裡面的題目大多數我都有打過，就想說那不如我來寫一篇整理吧，整理一下我自己打過覺得有學到新東西的題目。 因為個人興趣，所以會特別記下來的題目都跟前端與 JS 相關，像是其他有關於後端（PHP、Java 等等）的我就沒記了。 另外，這題有紀錄到的技巧或解

面試 26 個軟體職缺，心得分享

被 web 題電得亂七八糟，基本上什麼都沒解出來。題目的品質都很不錯，學到很多新東西，值得記錄一下。 關鍵字： Electron relaunch to RCE 利用 Python decorator 執行程式碼 透過特殊檔名讓 Apache 不輸出 content type header GIF + JS polyglot 繞過 SQLite 不合法欄位名稱 JS 註解

這陣子在 Front-End Developers Taiwan 臉書社團上有一系列關於 Tailwind CSS 的討論，起因是另一篇已經刪除的貼文，那篇貼文我有看過，因為怕原文內容跟記憶內容有落差，因此這邊就不講我記憶中的原文大概是在寫什麼了，畢竟這也不是這篇所關注的重點。 總之呢，那篇貼文引起了臉書上前端社團的熱烈討論，在短短兩三天內迅速多出許多討論相關技術的文章。 而有許多人在討論的議

Beyond XSS：探索網頁前端資安宇宙是一本即將於 7 月 19 日正式發售的書籍，其內容源自於我在 2023 年 9 月時參加的 iThome 鐵人賽同名系列文章，基本上整本書是改寫自那個系列文，但有修正了一些錯誤，並且加上了全新的章節。 這篇文章就來寫一下這本書背後的故事，包括我為什麼..

大約半年前左右，跟朋友聊天時無意間得知有「愛沙尼亞數位居民」這個酷東西，正式名稱為「e-Residency of Estonia」，任何人都可以申請，通過之後可以拿到一個讀卡機跟數位身分證，接著就可以直接在網路上在愛沙尼亞開公司以及開戶。 但數位居民終究只存在於數位，這並不是合法的愛沙尼亞公民..

系統權限繞過

之前我在《成為前端工程師的四週年回顧》裡面提到了自己的旅遊計畫，以七八月為分界，可以分成兩個部分：

意見徵集活動說明書

日本總務省的社會生活基本調查針對全日本10歲以上人員進行統計，包含不工作的人。在全日本47個都道府縣中，31個都道府縣的時間減少，遠程辦公的固定化和追求住處離職場近的意識加強可能産生了影響……

我的部落格架構其實很久沒有大幅改動過了，hexo 現在已經出到 v6，v7 正在 beta，而我的部落格還停留在 hexo3。 最近想說剛好比較有空，就趁機找時間翻新部落格，順便運用了 chatGPT 來當小助手。 這次做的改動有： Hexo 升級版本 修改 syntax highlight 深色模式 自動翻譯（重點）