@only0jac 但你原始 token 没有暴露呀，这个新 Token 只是个签名而已，用户如果要上传其他文件（文件名不同），就必须要一个新的签名，只要原始 Token 没有暴露，用户就不能随便上传内容。

@only0jac
你可以这么理解，你不是怕 Token 被别人拿到么，那你就把 Token 和文件名一起 md5 以后，作为一个新 Token 。
但这个方法需要“贴图库”那边支持，他们那边拿到这个新的 Token ，需要将你原本的 token 和文件名一起 md5 ，再和新的 Token 比较。

纯前端不应该有这种 token 的验证方式，而是应该改成签名验证。
举个简单例子，用用户 id+时间戳+图片名+Token ，生成一个 hmac 签名，和 id 、时间戳、图片名一起发送到服务端。
服务端接收到以后，根据用户 id 从数据库里查出这个用户的真实 token ，对用户传过来的 id 、时间戳、图片名进行签名，再和用户传过来的签名进行比较。（可能中间还需要比较当前时间和用户传来的时间戳在一定范围内，防止重放枚举爆破攻击等）

三楼+1

需要

网上那些使用开源程序的网站和服务，不能算裸奔吧，关键还是代码质量和通信过程的安全。

非常讨厌下拉加载，不是社交类型的网站（用户喜欢刷刷刷的）千万别用。。。有的博客用这种方式，导致想找资料和文章，非常不方便。

想说的被楼上说了……
另外，这绿油油的 PPT ，扎眼

这必须赞一波

@monburan 我的程序员之路还需继续努力

@citylcs 我也不支持。我是利用 ipv4 连上 vps ， vps 访问 ipv6 的网。

挂代理连 ipv6 用 BT 下载能到 5M/S
https://www.leavesongs.com/SHARE/ipv6-via-ss.html

曾用过的一个方法，好像并不简短，但每次要用的时候都会拿来用，方便

https://gist.github.com/phith0n/20ad17cbd487a833ad3022d366d63f04

Webstorm 2017.1 也比较爽，对 vue 支持挺不错的

看成 twig 了。。。吓了一跳

http://rootkiter.com/Termite/
不过得安装 agent
直接反弹并能多个管理的，也许 metasploit 可以吧
这东西地下比较多，僵尸网络什么的。