https://imququ.com/post/the-security-of-window-opener-location.html
这个很早之前就有的。

浏览器自带的查找功能，一直不区分全角和半角引号。

这次换房准备搞个 irobot 980 试试

1000 多张图片，也是服了这个作者。

http://media.weibo.cn/article?id=2309404006355714371206
自从这件事之后，我一直觉得搜狐新闻特别没节操：

1 、转载很常见，但把 javascript 过滤成 java 来误人子弟就太恶劣了，也显得可笑；
2 、原作者多次留言一律删除；
3 、原作者及热心网友在微博 at 他们，一律视而不见，也不改正；

咦，你们居然还没招满人啊。

@hilow 可以看下这个：
http://www.barretlee.com/blog/2016/05/20/kindle-book-maker/

@Quaintjade 例如 firefox 的 uBlock 就会往页面注入 css ，被 block 了也挺好。

@Quaintjade 应该是注入的 css 。

@qgy18 那 CSP2 的 Hashes 又是什么鬼呢？

是时候来一发广告了， https://imququ.com/post/content-security-policy-level-2.html#toc-1-0

@wql 嗯，如果为了追求得分而损失功能或体验，确实得不偿失。

所以我严格安装了 CSP2 的 Hashes 规范处理了内联 style 和 script ，也算是更遵守规范了吧。

放上地址：
https://mozilla.github.io/http-observatory-website/analyze.html?host=imququ.com

终于 A+ 了，把所有 inline script/style 都改为 CSP2 的 Hashes 了：

content-security-policy:default-src 'none'; script-src https: blob: 'sha256-EXpjqnq6bBRKNU86n1jt5PUYCgxDgsOYN9mgQ7FKEqA=' 'sha256-tuN/taV0PwCmTK7/KXJPHfAlzRCRyQEh+ySIHGS/bdQ=' 'sha256-LmqWYXdCMPeaYES0GLxTcg4GG9lRP4ROcbzNCRG7k+0=' 'sha256-8sQo5qZ4ZgO0VeeYu0GN05LDWyCB/4n11qozSbNrUw4='; style-src https: 'sha256-FHhdZjNbbxK6uspgpn8A4MRnv/bTyi96J5BoOP74SVo=' 'sha256-vJR8aVOblGM4d6XxhWU0fCzVI+mvFKpLBHppx/4p3hc='; img-src https: data:; child-src https:; connect-src 'self'; frame-src https://disqus.com;

头部这么多看着真是蛋疼，虽然说有 HTTP/2 的 HPack 。

更为蛋疼的是 safari 仍不支持 CSP2 ，只能 UA 判断下。

https://imququ.com 仅仅是 A ， unsafe-inline 目前确实没办法去掉。

👍 我的博客前几天已经用上了。

这个算法主要是内置了分析大量网页之后提取的字典，所以能在压缩比更高的同时不影响解压速度。

确实大部分 chrome app 都可以转成网页。

postman 这种使用频繁的，官方提供了 electron 版供下载安装使用。

同样感觉是跳转状态码的问题，你这不贴出 DEMO 地址没办法排查问题啊。

Demo 地址： https://qgy18.com/request-compress/

当然可以！而且我以前就写过相关文章：

https://imququ.com/post/how-to-compress-http-request-body.html
如何压缩 HTTP 请求正文