raw0xff

@restkhz 特别喜欢能够站在提问者角度讲解的答主，感谢。
浏览器访问 a 网站时 a 网站的脚本访问 b 网站，无论是 post get 还是 options ，是否响应是 b 网站自身逻辑说的算的，即便 Access-Control-Allow-Origin:* 也只是告诉浏览器 b 允许所有来源访问，至于如何响应是看代码。那么 b 网站设置 Access-Control-Allow-Origin 和 Access-Control-Allow-Methods 的意义是啥？后端不可能只声明不处理,curl postman 就能钻空子，声明了还是需要处理，那为啥还要声明？一定是某个场景需要，我就这点没搞懂。

@crackidz copilot 是不是只有代码补全，没有创建文件和理解多个文件的功能吧？还是我不会用。cursor 的 cmd+i cmd+l 用起来真舒服。

@Puteulanus
“后端安全的一个原则就是客户端发过来的所有东西都可能是不可信的” 学到了。
“是给后端一个操纵前端（浏览器）行为的 API” 操控换成约束也不对，毕竟无法约束更无法操控，像 @Quarter 说的“是双端一起努力的结果”比较贴切。

弱弱的问，有 api 密钥也有风险吗？

如果要做任务的话，你应该试试 cursor 。
GPT Claude 这俩家伙只会说不会干，cursor 是真干。

我记得有个开源项目 nostr 貌似可以做个例子。
大概是个去中心化的 twitter 微博，用户信息和数据存在第三方建立的节点上(relay)，用户可选择在多个不同的 relay 上存储自己和订阅别人，用户 ID 就是公钥，用户明文发推，但私信用接收者公钥加密。relay 只需要无脑收发存储，不需要对用户做任何身份验证。

@skallz 大概明白你说的，但是跟我的提问关联在哪里？
用户在 a.com 通过 webauthn 生成 credential ，a.com 可以将 cred 共享给 b.com c.com ，但浏览器遵循规范不允许 rpid 以外的域访问。

@skallz 大佬详细讲讲？

WebAuthn L3 好像支持跨域了

@lisxour
@relsoul
请大佬给个思路，如何从工程层面解决？