@crisfun 因为我设置它 5min 闲置就锁定，然后我写了一会代码（电脑一直在交互使用中）再去点它... 就被锁上了

Enpass 不管你在干嘛，没动**它**5 分钟就自动锁定

1Password 是电脑无操作 5 分钟才会自动锁定

@JJaicmkmy 每天 1G 以内的流量感觉还可以接受
@gamexg 放大攻击的特征基本都被拦截了，而且有频率限制的

阻止运营商劫持和中间人攻击， SSL 还是有必要的

@KingsWay 你丫一边玩去

@wql 开过一段时间吧，刚才问了 ustc 那边流量不大，但是挺怕滥用的

@yangff 反正不对外开放服务和关了差不多

@tobyxdd 所以不一样咯

这个是不是要问下 @CloudXNS

@tobyxdd 发过 V2EX 么...

@49 Pia!<(=ｏ ‵-′)ノ☆


@kiritoalex 其实朋友帮忙给备案了，主要是自己杂货屋要用支付宝接口

@kiritoalex
@clino 国内 VPS 不贵，特别是阿里云按流量算才 32 一个月
（然而不想放在国内


@yangff 看上面回复

@GeekTest 不喜欢 DO ，不买 DO 的服务

@lightening 也许会用 cloudfront

@66beta 那种地方你敢用吗...

@pwinner 不去给小新添乱了...

@kozora
@function007 不是钱的问题啊，虽然可以再添一个 SL Cloud 但是完全性能过剩啊喂

@xubeiyan DO 早已黑名单...

@Kilerd 一般都是不让的吧，会让经济崩溃的
(虽然经济到最后基本都是崩溃的

(看到了好多熟悉的规则和习惯...

@oott123 噗哈哈哈哈哈哈哈

我都是做软链保存在自己 dropbox 里的

没人说 unbound 吗...

@miyuki 要看你防止什么样的，仅仅一个动态 API key 就需要每个 session 先请求一次你的页面
referral 和 CORS 也是针对浏览器里调用，如果写客户端的话那基本就各种没辙了...

楼上说的把 API 做成可以开放的想法很不错。

目前的一个简单思路，虽然还是有被 hack 调用的可能..

1. CSRF 或 API Token ，一个在页面顶部或底部 DOM 里的随机 key ，在请求的时候一律带在 parameter 里
2. referral 控制，非本站的 referral 拒绝访问（ Edge 会挂掉
3. CORS 同源请求控制，和 referral 类似的效果，不过是浏览器会自动禁止调用而不是等你的 web server 拒绝

为什么现在一上来就是想签泛域名的