@ysc3839 说实话我的开发经验来讲，我遇到过因为爆内存导致管道崩溃的，但是在不触及硬件瓶颈的情况下其实我没遇到过 popen 有什么稳定性问题。所以发现自己没法回答为什么不直接用 popen

@ysc3839 单个程序在源码阶段互相连接我能理解它是怎么工作的，但是我不理解编译好的程序怎么引入另外一个编译好的程序

没法给建议，不过迷茫和痛苦是一样的，帮顶，共勉吧

@johnsona 你怎么把 register 和 hello()联系起来。比如我在 main.py 中有这几行代码

app=fastapi()
template=jinja2.template()

然后视图中有
@app.get()
def hello()
return template.render('index.html')

@johnsona 问题在于无法传入，视图最终逻辑函数的参数是固定的，你不能引入一些与 http 无关的其他业务参数

@johnsona 看了一下，还是没有解决工程问题，他这个 app=FastAPI()和视图是写在一起的。

另外看有几个人收藏这个帖子了，本着负责的态度回复一下我目前的解决方案。我由于前段时间研究了一下 PEP563，所以自然地想到运行时获取 globals 的方法，无论导入过程如何，运行时都可以比较简单地从 sys.modules 里获得实例对象。理论上这个做法不会产生安全问题、不会被 deprecated，算是一定程度上的 hack，寻址速度方面基本也可以忽略影响，目前是堪用。

但是最好还是不 hack，所以我来 v2 问一下大家的做法，但是似乎没人回复

@kkocdko 和想像中不一样，试了一下同源确实是可以直接调用。可能记忆中是对非同源的注入方式吧，印象中很麻烦

@yveJohn
@sarices 码时间长了有点头晕，发帖时候手抖了，实际代码标签位置是对的

@avastms 不是很懂有啥特殊之处，我感觉挺正常的啊

@abersheeran 我觉得你没有理解我说的话，你说的随机字符串的方案，就是我帖子一开始第一句说的 csrftoken，问题是我觉得既然 js 可以读取，那么还是会被 xss 漏洞攻破，如果出现的话，这种防御就没了意义。不如干脆不存在 cookie 里，可以断绝 csrf

@xiaoding 我概念没有搞混，你前三点和我说的一样，我想确认一下第四点是不是对的

@mxT52CRuqR6o5 现在一般都是框架开发，基本没有 xss 问题，但是你还是要选型，比如你的敏感信息究竟存在什么位置，我想深究一下就来问一下

@mokeyjay localstorage sessionstorage，cookie 可以 httponly 避免 js 读取，不就防止 xss 么

果粉又来了。。。

支持一下

@abersheeran LZ 用什么框架搭的，这套 UI 设计挺好看的

感觉可以再进一步实现一个匿名聊天平台，比如发表把这些网址再接入一个短链接平台，而前端则用 chrome 的方式自动解密。不过这样去中心的优势就没有了

@locoz pixiv 那个应该就是专门花钱买的反爬虫服务，我印象中几年以前，大概三四年以前，pixiv 的登录接口我自己是可以搞定的，然后到一两年前有需求的时候看了一眼发现搞不定了，似乎接入了谁家的反爬服务，但是 github 上还是开源了不少破解的东西。我感觉这样一来的话不如自己实现了，反爬做的再严密，数据价值到位总归有人会破开，不如自己做个简单点的原型，可以拦截 99%的菜鸟

@locoz 是这样，如果用登录限制的话，就像现在这样，不排除有认证用户爬取数据的嫌疑，因为本身就是提供数据服务的，对方对数据有兴趣也并不奇怪。比如现在的 jwt 登录策略，只需要拿到 token 之后就可以退出模拟了，感觉成本并不是很高。防 CC 的话感觉，因为我们现在 nginx 已经设置了一个比如一秒访问一次的频率，最多也是每分钟被访问 60 次，这种频次应该离攻击还远，不会被挡。