有一说一，我长这么大第一次见这么离谱的网页设计，古今中外、新手大佬中，第一次见。 
刚才有佬说，有给优惠码EXA50API。 
我在现实中爱玩网安。出于职业敏感，我想注入一下接口。然而怪事发送：这玩意，随便输入一个兑换码，点击兑换没有请求！ 
然后我翻了翻他没加密的js代码，找到了这个： 

let e6 = { 
EXA50API: “EXA API $50 Coupon” 
} 

这是在干啥呢？ 

if (!o) { i(“Invalid coupon code”); // 如果不在 e6 对象里，直接报错"无效代码" return } 

我惊呆了，他这个兑换码写到前端的！ 
然后我逆向出来，造请求，发了一下，发现： 
更令人震惊的。 

改改兑换码名称： 
--data-raw ‘{“teamId”:“xxxxxxxx”,“couponCode”:“EXA100API”,“de...