@yveJohn
@sarices 码时间长了有点头晕，发帖时候手抖了，实际代码标签位置是对的

@avastms 不是很懂有啥特殊之处，我感觉挺正常的啊

@abersheeran 我觉得你没有理解我说的话，你说的随机字符串的方案，就是我帖子一开始第一句说的 csrftoken，问题是我觉得既然 js 可以读取，那么还是会被 xss 漏洞攻破，如果出现的话，这种防御就没了意义。不如干脆不存在 cookie 里，可以断绝 csrf

@xiaoding 我概念没有搞混，你前三点和我说的一样，我想确认一下第四点是不是对的

@mxT52CRuqR6o5 现在一般都是框架开发，基本没有 xss 问题，但是你还是要选型，比如你的敏感信息究竟存在什么位置，我想深究一下就来问一下

@mokeyjay localstorage sessionstorage，cookie 可以 httponly 避免 js 读取，不就防止 xss 么

果粉又来了。。。

支持一下

@abersheeran LZ 用什么框架搭的，这套 UI 设计挺好看的

感觉可以再进一步实现一个匿名聊天平台，比如发表把这些网址再接入一个短链接平台，而前端则用 chrome 的方式自动解密。不过这样去中心的优势就没有了

@locoz pixiv 那个应该就是专门花钱买的反爬虫服务，我印象中几年以前，大概三四年以前，pixiv 的登录接口我自己是可以搞定的，然后到一两年前有需求的时候看了一眼发现搞不定了，似乎接入了谁家的反爬服务，但是 github 上还是开源了不少破解的东西。我感觉这样一来的话不如自己实现了，反爬做的再严密，数据价值到位总归有人会破开，不如自己做个简单点的原型，可以拦截 99%的菜鸟

@locoz 是这样，如果用登录限制的话，就像现在这样，不排除有认证用户爬取数据的嫌疑，因为本身就是提供数据服务的，对方对数据有兴趣也并不奇怪。比如现在的 jwt 登录策略，只需要拿到 token 之后就可以退出模拟了，感觉成本并不是很高。防 CC 的话感觉，因为我们现在 nginx 已经设置了一个比如一秒访问一次的频率，最多也是每分钟被访问 60 次，这种频次应该离攻击还远，不会被挡。

@systemcall 我明白了，百度才是反爬届的大哥大！

@abersheeran 我测试的是单纯的 echo server，没有接入其他任何服务，应该是受限于操作系统。但是具体原因也未必很重要，我只是压力能看到很实在的压力和延迟测试数据，只能说实机跑就是这种感觉，我只能根据结果选一个合适的

看到这个问题就想到，同一个 exe 安装包能在 2001 年发布的 xp 上跑，又能在 2021 年的 win10 上跑，真是太强大了

@charmToby 感谢！

@neoblackcap 我理解上 io 复用高效的原因在于避免了线程切换产生的时间切片问题，这是其一。
cython 相关的问题我不是很理解你为什么会指出处理请求时不能进行 cpu 密集操作，因为在线程与协程模型中 cython 反倒是不变的那个，因为是纯计算且不涉及 gil，两者使用上并无差异。

这里用这套工具当然不是为了压榨机器性能，只是因为各方面恰好合适而已，数据操作部分，pandas 可以帮我完成大部分处理，而少数没有覆盖的地方，算法用 cy 实现一下也很快。

另外我觉得用完全实际的项目流量选型也未必合适，毕竟即使是最沉重的 django 的单节点部署后响应能力也不是轻易就能达到上限的，毕竟实际业务当中能做到 1000qps 已经是大站了，而这个并发下显然瓶颈也不在 django 本身，它仍是堪用的。我只是觉得还是要以发展的眼光看问题，毕竟项目日活会逐渐增高，只是希望找一种转发效率和开发效率平衡的方式，不要框架消耗太高，也不要框架太难写导致开发缓慢

@neoblackcap 感谢回复，这个帖子基本上还是调研范围，毕竟已经有一个验证比较成熟的方案，想换框架是因为一些肉眼可见的好处（参数注入等），因为确实目前用的不是说不能用，但是用起来并不开心。路由表打开一看几十行，参数处理要写上千行，比如现在要重构了，让我再重新写一遍，肯定是不开心的。

异步的问题我觉得是这样，因为要频繁和数据库交互，IO 复用肯定比线程模型优势大，比如每次一个请求被访问，最基础的会产生一次权限表请求，然后业务方面或许会产生到不同数据表的若干次请求，比如这样的 10 个小请求，然后再加一次复杂连表计算，这个连表需要计算较长时间。那么理论上我当然希望这若干个请求同时发送，回调业务处理，让通信消耗的时间少一些，我觉得在这方面 asyncio 相比于线程模型要好。比如 django 用 wsgi 部署，echo 的通信延迟可能在几十毫秒的数量级，加入后端请求后在一百到两百毫秒，而异步可以缩减到个位数，django 的 asgi 我不是很了解

个人感觉，PC 的话不确定，服务器的话倒是安全？因为彻底关闭 ssh 以后实际上并没什么被攻击的入口，只能从第三方程序下手，而服务器上部署的服务非常有限，且运维对这些服务有很强的掌控，很清楚每一个服务在干什么。一些广泛使用的服务，即使是开源项目，也是久经检验的，比如 fail2ban 这种。虽然开源项目有恶性事件的记录，但是总的来说还是问题不大