藥不藥來當工程師

2026


exactly-once 是謊言:前端工程師終於學會「冪等」

寫了很多年前端,「冪等(idempotent)」這個詞我當然看過——HTTP 規範裡有、面試題裡有。但我從來沒有意識到它:沒有在設計系統時把它當成一個要主動守住的性質。直到我的爬蟲系統經歷了一連串資料庫事故(覆盤見系列第二篇),我才發現整個系統能自癒的地基就是這兩個字,而且回頭一看——前端其實天天在用它,只是沒人告訴我它的名字。

CSV Injection:一個被低估的攻擊面,以及威脅模型如何決定它的嚴重度

最近在重構一個「把分析資料匯出成 CSV / Excel」的功能時,自動化的 code review 工具在其中一段 CSV 產生邏輯標了一個 CWE-1236(CSV Injection)。第一眼看它像個可以延後處理的舊問題,但認真追下去,卻意外帶出一整套關於「injection 的本質」與「威脅模型如何決定優先級」的思考。這篇就記錄這段收穫——幾乎不談那個重構本身,只談那個被掀開的攻擊面。