restkhz

我不得不说，很多人理解就错了。CORS 出发点不是“为了安全”，而是为了灵活。

很多人说的其实是 SOP ，同源策略。说白了就是分隔不同站点的 cookie ，认证 header ，资源等。
而后又发现其实有时候我们也是需要跨域访问的，比如你前后段分离。但是因为 SOP ，很多事情都做不了。

所以要打一个补丁，但是你总不能破坏 SOP 吧？所以搞了这一堆机制。存在部分安全限制的灵活。
很多人的困惑就是因为直接看了 CORS ，就觉得这莫名其妙。所以楼主你还是从 SOP 看起吧。


而且人们普遍对 web 攻击理解是有问题的。

比如 3 楼，说的“跨站脚本攻击”，实际上就错了。你说的更像是 CSRF 。
你要是说跨站脚本攻击，但是它的发起可以是同源的，这种 CORS 防不了。
你描述的 CSRF 有时候根本不需要响应内容。服务器收到就好。这种 CORS 也防不了。


而后楼主在 20 楼的问题，这是 CSP 可以解决的。你可以在 html 里给调用的 js 直接写上 hash ，浏览器会自动验证 hash 。可以应对投毒。


如果你在乎安全，去看看 CSP ？

正好最近搞了个这个： https://github.com/restkhz/CutterMCP-plus
对这个马做了一个简单静态逆向，这个马功能没那么简单。但他调试符号没有剥掉...
这马偷很多信息啊，而后从 c2 下载另一个马再执行。

其实是：先有这碟醋还是先有这盘饺子？

根据收集到的个人数据给每个人免费发一个最佳机器人伴侣，能聆听能做饭，能赚钱能陪伴。
不要车不要房，不要彩礼平时也不会说自己最近忙。

ta 能满足你的癖好，长得也戳你。而且对你忠诚。能跟你聊从天文到地理，从历史聊到哲学，从哲学聊到科技。
更要命的是 ta 还会搞浪漫，因为了解你，所以你绝对不会觉得无聊。

你不用上学，你不用上班。你每天和 ta 玩就是了。ta 永远支持你，陪伴你。公司领导同事 sb ，学校老师同学 sb 。
那为什么还要上班上学呢？你只需要按照你的个性玩就好。
虽然机器偶尔也给你设计一些挑战，但是都很符合你的个性，并不困难。就像给洄游性鱼类挖了一条浅浅小小的瀑布一样。你可以去打游戏，可以去游泳，跳伞，攀岩，和别人竞争......

你衣食无忧。机器人可太好了。
只是不能和你生孩子罢了。

但是你快乐啊。什么？一个机器不够？那就两个。

当有一天你和别的生物人接触的时候，你突然发现：
另一个生物人居然是那么的原始，野蛮，自我，无知。
你们彼此互相都接受不了，甚至互相厌恶。
于是人和人的关系就此逐渐消亡。
而异性？简直就是外星人了。

有一天，你是地球上最后的人，垂垂老矣，行将就木。
那个机器人还是那么年轻，可爱。你在病床上，ta 一直都在旁边，关切地望着你，握着你的手。ta 眼里满是怜惜和泪，为你，和整个人类送别。
你想着你和 ta 曾经快乐的人生，在半梦半醒之间永远的闭上了眼。
人类就这么灭绝了。

ta 的使命也结束了。

y2b 简中人少只是一个方面。
虽然我是外行，但是你这视频几个硬伤很明显
1. 你的视频没有解说，反正我没听见人声。字幕就那样。观众很多时候根本看不懂你在视频中当前这几秒在做什么（其实绝大多数人也不在乎）
2. 没声音加点音乐刺激会让观众更有兴趣。
3. 没几个人在乎你做了什么内行，什么实用的东西，观众想看点刺激的。
4. 封面不吸引人。

我就拿你那个隔离变压器来说，没人关心你现在在绕线，哪根线是什么，为什么接到某个地方。就算想关心，你不说明也看不懂。所以外行内行都不想看。万用表那个读数代表什么，观众也压根不明白，所以也不知道你下一步是做什么。全程不明所以。
观众没有丝毫参与感。

你看流量就知道，最火的那两个视频，比如封面，普通人懂：
热成像，哦牛逼。看到高压那个，打弧了，哦牛逼。看封面看标题就觉得刺激，就想看。另外两个视频根本没吸引力。

而后用户点进来，看了一眼，不知道你在那里打什么孔，那个孔做什么的。接什么线也不明白，十分钟，根本不知道你在做什么。
绝大多数人没看两分钟就退了。没意思。你觉得 y2b 还会帮你推送吗？

你可以多看看别的 y2b 上 DIY 的节目。说到底，观众就像看点刺激的。经典的比如 ElectroBOOM ，还有的号上来就搓了一个涡喷。我觉得可以参考。

还有，比如你那个什么隔离变压器，你可以说这东西怎么保护你安全没被电死（当然你真的要注意安全）做科普，或者你用自制点焊机做了一个“设计非常人性化”的东西。封面做好点，我觉得只要观众有人能从头到尾看完就行。

顺便，你不说话也可以配点音乐。
反正有一部分用户会想看完就好

如果把这个问题抽象出来，
比如你提到的 AB12345CD12345EF 这种情况直接覆盖了 6 种可能。原本你需要用 42 个字符表示的，但是现在你用了 16 个。
AB12345CD 覆盖 3 种
AB12345CD12345EF 有 6 种
AB12345CD12345EF12345GH 有 9 种，接近一个数量级。
....
换个想法，如果我们允许一次输入 9999 个字符，那么一次就可以包含所有组合。
记得包含 A12345BC12345DE 这样的。

所以如果密码长度缩小或者允许输入长度变大都会有问题。你问的那个情况在密码只有 6 位已知 4 位的情况下，20 位的空间应该正好一次可以试 9 种组合。差不多一个数量级。

其实西方医学是一个持续迭代进步的东西。古希腊希波克拉底搞了个体液学说。那个时候中国大概是周朝。反正和皇帝内经那些玩意儿出现的时间差不多。
接下来就是你说的 500 年前，中世纪。西方也基本是经验学。我觉得没啥好比的。因为时代的知识框架就那样。别的没解锁，医学你也点不了。

文艺复兴后欧洲对人体认识才开始进步。
真正明显的分水岭大概在 19 世纪。
不过你要专门说“英医”，那我们就说说英国。
两百年前，英国开始搞传染病学治理霍乱，医生开始提出搞出无菌化操作。
那个发现牛痘对抗天花的事情貌似也是英国那边的。然后研究研究，疫苗出来了。

中医呢？基本停滞。基本上辩经就完事了。反正你阴阳五行，怎么都说得通。总有人替他辩经。

其实所谓现代医学，是一个持续迭代，进步的东西。然后我们管这玩意儿叫“西医”。你要问欧洲他们传统医学呢？早被更新迭代掉了。

我不太认可经验学。虽然你可以说，中医也凭借经验也有搞无菌化操作什么的，但是仅仅凭借经验是不够的。你连菌是什么都不知道...
比如给小孩吃的药，你里面加朱砂。一吃，有用，小孩不闹了，睡了。哇！有用。你确定不是汞中毒？
然后药材还有不少喜欢是高度肝毒性，肾毒性...

反正感觉有用，人病好了，没死，OK. 然后赶快掏出那个理论框架，赶快解释一番。


最糟糕的那句话就是那句：西医治标中医治本。
病原是什么都不知道我真不明白这怎么治的本...

医学本身是迭代发展的，如果你相信中医，OK. 欧洲今天也有人相信顺势疗法，也 OK 。
毕竟患者情绪也重要，医生也要赚钱，好吧。开心就好。

我不是说中医“无效”。但我真不能接受你说这个东西比当今整个自然科学框架下诞生出来的现代医学还好。

火钳刘明
这个概念挺有意思

我这两天还寻思要是 Markdown 笔记能接个 API 就好了
star 了, 感谢!