referrer保护、策略升级

referer隐私策略升级，主流浏览器默认策略已由referrer-policy: no-referrer-when-downgrade调整为了strict-origin-when-cross-origin。页面跨域请求deferer只会保留域名。

如果站点存在多个二级域名，确实需要获取deferer来源url，需要服务端明确指定响应头referrer-policy，如设置为升级前的默认策略no-referrer-when-downgrade（由https跳转http页面时不发送referrer）。代码层面，a标签这种外部链接，考虑都加上rel="noopener noreferrer"属性。

全局作用域下定义的let，const变量不在window变量下。可以直接使用变量，不能通过window.var1形式访问。

判断是否框架，了解一下frameElement属性

const isFrame = window.top !== window.self || window.frameElement

谷歌服务流量中断记录，识别对应地区是否支持谷歌服务

https://transparencyreport.google.com/traffic/overview?hl=zh_TW

node获取当前git分支名称

const childProcess = require('child_process');const branch = childProcess.execSync('git rev-parse --abbrev-ref HEAD').toString().replace(/\s+/, '')

记录一下limiter这个nodejs速率限制库，虽然还没实际应用过，平时工作场景中也可参考一下提到的twitter搜索API请求频率阀值：150次/小时。

https://www.npmjs.com/package/limiter

防范邮件伪造欺骗，服务器务必配置启用DMARC记录。在平常的日常生活中，我们也不要一味相信邮件或社交软件内容，也许内容本身并不是来源于发送者本人。任何时候，涉及敏感信息、操作时，要多一些防范意识，核实对方身份。

https://qiye.163.com/help/3338ea.html

https://support.google.com/a/answer/2466580?hl=en