不需要本机是后端服务器啊，1里说的CORS验证是在user agent(浏览器)上的实现的，2里说的api网关验证说到底还是对浏览器发过来的referer的验证，那我骗过本机浏览器就行了

【 在 cn62 的大作中提到: 】
: 你这说了个啥，难道本机就非得是后端服务器？
: 他这东西后端不加权限控制本来就无解的东西，能堵一点是一点，这么认真干嘛。
--
FROM 111.78.78.*