# Note - 隱形的 JavaScript 後門

看到這篇文章，一個發佈在 reddit `r/programminghorror` 裡面的討論。一種可以躲避 Code Review 方式的後門方式，我也還真沒想過有這種方式。這邊我就不想搬運人家作者的方式了。

簡單來說就是使用 Unicode 的方式，我今天使用 `\u3164` 來當作我的變數，而這個變數看起來會是如何呢？沒錯就是一個空白，你完全不會注意到的空白。而在帶入程式的參數裡面，在偷偷加上這個看起來空白的變數，就這樣加上了後門了。完全沒有想到還有這種方式呀! 真的要在 Code Review 上注意到這個，還滿困難的呀。

補上最新資訊的 VSCode 會幫忙判斷這種問題
https://www.ithome.com.tw/news/148340


## Reference
- https://certitude.consulting/blog/en/invisible-backdoor/
