@ivmm 自己托管肯定没有任何问题。 SRI 是为了解决以下场景而提出的：
1 ）必须使用 CDN 。原因可以是节省流量费用，也可以是给用户更好的体验，等等；
2 ）担心 CDN 被入侵，导致文件从源头上被篡改，从而给主站带来安全风险；

其中第二点， HTTPS 或者 CSP 都无法解决。

另外实际使用 SRI 时，我们一般会做个降级，当 CDN 无法加载时走本地的，保证可用。代码示意如下：
<script src="https://cdn/jquery.js" crossorigin="anonymous" integrity="sha256-xxx"></script>
<script>
if(!jQuery) {
document.write('<scr' + 'ipt src="https://local/jquery.js"></scr' + 'ipt>');
}
</script>

1 、 HTTPS 可以保证第三方脚本被中间人劫持、篡改；
2 、 HTTPS 避免不了源站上的修改。类似楼主说的某某公司修改代码盗取 Cookie ，或者源站被入侵导致内容被篡改；

对于第 2 点， Web 应用安全工作组提出了一个方案叫： Subresource Integrity 。
简单原理就是你先自己审计第三方文件内容，如果觉得没问题，在引入这个文件时带上 HASH 值，之后浏览器会自动帮你检测这个文件是否被修改，如果修改了就拒绝加载。

详见我的博客：
https://imququ.com/post/subresource-integrity.html

@kalsolio http/2 必须 tls v1.2+

@maxsec https://imququ.com/post/why-tls-handshake-failed-with-http2-enabled.html
被召唤来了

帮顶一下武汉的公司～

@javaluo 区分不了手动和签到机
我们这种纯手动才是真爱呐

都用了好久好久啦。

@cxbig 坐等 @livid 给出官方解释。
反正我真的是一天也没落下。

哈哈，原来大家都一样。。。

@moname
@Love4Taylor
@lifanxi

哈哈，看来我还差得远啊。

@liangguan5 你牛！

@binjoo typecho ？

话说 lz 注册域名时手抖了么
hogn => hong

又可以发博客地址了。 08 年到现在，才 100 多篇。
https://imququ.com

@xcaspar 做为经历了百度有啊从需求讨论 mrd 评审到开发到上线到拿总裁特别奖到身边各种人离职到准备转型为爱乐活的员工（ 2008 - 2011 ），那天看到「百度有啊」这个尘封已久的名字，唏嘘不已。

@sky170 禁用 warning 试试？死马当作活马医。。。
export CFLAGS="-Wno-error"

用 HTTPS 可能会好点，理论上阿里就无法劫持你的页面。
但后果可能是直接给你封机器、封 IP 了。

mpv 配合 you-get 使用，疗效更好噢！
https://you-get.org/

@powtop 大部分提供云主机的服务商都支持通过 api 自动部署、销毁实例。选择按量计费，运行投票脚本后就马上销毁，确实花不了多少钱。

解决了 IP 问题，再通过 PhantomJS 一类的无界面 webkit 可以更好的绕过去各种检测。

无意冒犯，然而我感觉在招聘贴里写这个，有让人认为你们工作不饱和的嫌疑。另外看到别人刷票所以自己也要刷，还各种想办法刷赢别人，有点小孩子脾气。。。