ESLint自定义规则

前段时间我所在的团队遇到一个让人抓狂的问题：业务方在调用 /api/admin/ 开头接口时，有同事习惯性地把登录态 token 写死在请求 headers 里带过去。这种事你不可能靠 code review 每次都拦住，因为人总是会困、会急、会把“写完赶紧上线”排到“安全规范”前面。 于是我去翻 ESLint 的内置规则。no-restricted-syntax 能挡一些 AST 节点，但对于“…