@wunonglin 毕竟我 web engine 不是我自己实现的，我也不清楚里面实现细节，不清楚他的解析实现是否有风险，其实我也是第一次听说恶意修改 headers 里面的 host 还能用来攻击。我后来试了一下，也是用那个 nginx 推 headers 的办法可以解决，nginx 可以自动给没有预设 host 参数的请求自动补上，然后由业务端中间件校验一下合法性，似乎可以防御这种攻击。

@wunonglin 大佬住在 v 站么，每次发帖你都能看到。不过我联想到一个问题，看这个 nginx 推 IP 的方式，似乎就是在 http headers 里面加一些信息而已。想起来之前看到 web 后端一般识别路由等都需要依赖 headers 里面的 host 来进行判断，所以有恶意修改 host 的攻击方式。

我在 fastapi 官网的中间件部分看到这个，它有一个限制可信 host 的中间件专门防止这种攻击。但是我用他这个的话，我的 vue 前端没法控制所有请求的 host 啊，比如 vue 请求 html 的时候会加上 host，请求 js 文件之类的时候，请求会直接进入后端，不跟前端发生关系，没法自定义 host，chrome 默认就加载不出来┓( ´∀` )┏

@Ptu2sha 感谢，搜索了一下解决了

@lzdyes 大佬，照你说的方法权鉴已经解决了，我有个问题是，你发的代码里 token: sessionStorage.getItem('token') || ''的这个从本地存储中提取的部分，我自己把提取封装了一个工具，放在../plugins/utils.js ，因为里面不光是取出，还要做一些 parse 之类的，大概小几十行代码。

在组件里使用的时候就是 this.$utils.getItem('...')这么写就行了，但是在 vuex 的 index.js 里则要换成 Vue.prototype.$utils.getItem()这种。我在 mutations 里使用这个写法是可以正常调用的，但我发现在 data 部分里这么写会提示 Vue.prototype 里没有$utils 这个东西。这个部分的话如果想模块化用应该怎么导入啊

@wunonglin 对的，是我不理解 js 模块化原理，根据楼上说的解决了，是执行顺序理解不到位造成的，确实可以在 main 里先加载好权限再去 route 进行判断

@oott123 我不熟悉 js，不太清楚 buffer 是哪来的，网上搜来答案都这么写，也确实不用定义直接就能创建，我估计应该是个 js 内建对象。

我尝试了一下你说的 createobjecturl
.then(response => {
console.log(URL.createObjectURL(response.data))
}
这么写了一下得到了报错

@ysc3839 说实话我的开发经验来讲，我遇到过因为爆内存导致管道崩溃的，但是在不触及硬件瓶颈的情况下其实我没遇到过 popen 有什么稳定性问题。所以发现自己没法回答为什么不直接用 popen

@ysc3839 单个程序在源码阶段互相连接我能理解它是怎么工作的，但是我不理解编译好的程序怎么引入另外一个编译好的程序

没法给建议，不过迷茫和痛苦是一样的，帮顶，共勉吧

@johnsona 你怎么把 register 和 hello()联系起来。比如我在 main.py 中有这几行代码

app=fastapi()
template=jinja2.template()

然后视图中有
@app.get()
def hello()
return template.render('index.html')

@johnsona 问题在于无法传入，视图最终逻辑函数的参数是固定的，你不能引入一些与 http 无关的其他业务参数

@johnsona 看了一下，还是没有解决工程问题，他这个 app=FastAPI()和视图是写在一起的。

另外看有几个人收藏这个帖子了，本着负责的态度回复一下我目前的解决方案。我由于前段时间研究了一下 PEP563，所以自然地想到运行时获取 globals 的方法，无论导入过程如何，运行时都可以比较简单地从 sys.modules 里获得实例对象。理论上这个做法不会产生安全问题、不会被 deprecated，算是一定程度上的 hack，寻址速度方面基本也可以忽略影响，目前是堪用。

但是最好还是不 hack，所以我来 v2 问一下大家的做法，但是似乎没人回复

@kkocdko 和想像中不一样，试了一下同源确实是可以直接调用。可能记忆中是对非同源的注入方式吧，印象中很麻烦

@yveJohn
@sarices 码时间长了有点头晕，发帖时候手抖了，实际代码标签位置是对的

@avastms 不是很懂有啥特殊之处，我感觉挺正常的啊

@abersheeran 我觉得你没有理解我说的话，你说的随机字符串的方案，就是我帖子一开始第一句说的 csrftoken，问题是我觉得既然 js 可以读取，那么还是会被 xss 漏洞攻破，如果出现的话，这种防御就没了意义。不如干脆不存在 cookie 里，可以断绝 csrf

@xiaoding 我概念没有搞混，你前三点和我说的一样，我想确认一下第四点是不是对的

@mxT52CRuqR6o5 现在一般都是框架开发，基本没有 xss 问题，但是你还是要选型，比如你的敏感信息究竟存在什么位置，我想深究一下就来问一下

@mokeyjay localstorage sessionstorage，cookie 可以 httponly 避免 js 读取，不就防止 xss 么