上传到有道云笔记之类的地方，微信发给自己，登录服务器复制粘贴到服务器的文件里面，方法不要太多

不支持 tls/1.2 的浏览器应该已经很少了 => 不支持 tls/1.3 的浏览器应该已经很少了

@fenghuang 我测试下来 tls/1.3 是必须的，我没有其他不支持 tls/1.3 的浏览器可以测试，所以不知道不支持 tls/1.3 的浏览器能不能看。但是可以 bypass 反爬机制的就是：
1.用 http/1.x，tls/1.3，去掉 authority 头
2.用 http/2，tls/1.3，可以不用去掉 authority 头（推断）

authority 头是 http/2 特有的头，所以不会存在用 http/1.x，却发了 authority 头的浏览器。如果出现这种行为一定不是真人。
https://stackoverflow.com/questions/36019868/authority-http-header-in-chrome-dev-tools

即使真的有人在用不支持 tls/1.3 的浏览器，不是还有个验证页面和 cf_clearance 的 cookie 可以用么。只是体验差一点，但是 CF 他们既然敢这么做，说明现在不支持 tls/1.2 的浏览器应该已经很少了，影响不了绝大多数客户的浏览体验。

至于 Chrome 为什么可以发 authority 头。我这里没有同时支持 http/2 和 tls/1.3 的 curl，不知道加了--http2 和--tlsv1.3 的 curl 能不能加 authority 头。

去掉 RequestHeader 里面的 authority 头，然后加--tlsv1.3 就可以了

https://owasp.org/www-community/attacks/csrf

并不需要确切的拿到 cookie，当你发送请求的时候 cookie 是会被自动带上的，无论源站是哪个。你可以试一下直接在这个帖子里打开开发者工具，console 里输入

$.ajax({method: 'get', xhrFields: {withCredentials: true}, crossDomain: true, url: 'https://www.baidu.com', success: console.log})

然后到 network 标签页下去看你发出到百度的请求带不带 cookie。假如你用的是 Chrome 80，它会提示你未来 Chrome 只会将标记为`SameSite=None` 和 `Secure`的 cookie 附加到跨站请求上。这一方面是避免你的 cookie 在 http 请求中被中间拦截泄漏，一方面通过给 Cookie 添加新的属性 SameSite 来在客户端限制 CSRF 攻击。考虑到未来相当长一段时间内，用户都不可能全部迁移到支持这个属性的浏览器（ Chrome 80 也还只是提示开发者）。你服务端在未来相当长的时间里也还是需要做 CSRF 防御的。

https://web.dev/samesite-cookies-explained/
https://tools.ietf.org/html/draft-ietf-httpbis-rfc6265bis-03#section-4.1.2

@sprite82
@fuxkcsdn
@freakxx
#43 那楼没有说 90%的网站是用 Django 写的，你们需要重新认真读一下。逗号换个位置容易理解一点："世界上 90%的网站，用 Django 写性能都不会是瓶颈。"。但是逗号就算不换位置，也没有明显的歧义。看了半句就开始了还是有点...

@Sendya 我看了你发的 issue，看了这个人的项目，发现他最终还是用了 AntDesignVue，“真香”，还有代码库里的 dist，nginx 目录里的 Dockerfile，还有各种 prod 配置，还有，哈哈哈哈哈，https://github.com/marscj/ugo/issues/1，杀人诛心

刚发了上面的帖子又去看了一眼，刚好看到它由 running 状态大约 5 秒后变成 stop 状态。

稍微歪个楼，之前某一天笔记本突然风扇狂转，看 Activity Monitor 和 Chrome 的 Task Manager，定位到爱奇艺的 ServiceWorker 在运行，当时及之前的 24 小时内并没有打开任何爱奇艺的标签页，也没有发现哪个打开的标签页里有嵌入爱奇艺的东西。很神奇。stop 并且 unregister 之后，CPU 占用立刻就掉下来了。
奇怪的是打开 https://www.iqiyi.com/service-worker.js 的源码，里面是空的，不知道是什么鬼。

无责任推荐： https://pythonhosted.org/pyquery/，大概是最简单快捷的解决方案了

忽略代码最后两行，测试 js 时顺手写的

TL;DR:考虑这种情况：
'''
const inc = v => v+1;
inc.vector = [1,2,3]; //或者用 Object.assign/Object.defineProperty
inc.vector_add = function(num) { return this.vector.map(v => v + num) };
inc.t = 1;
inc.t.a = 3;
'''
要求拷贝 inc 函数或者拷贝 inc.vector_add 函数。



正文：
个人理解首先应该问清楚是否同样拷贝 property。
因为函数式编程语言中，函数是一等公民，本质上是个 function 对象，又因为 js 里对象的特殊性（兼具其他语言 map/dict 的特性），所以问题实际上分化成两个问题，是否需要拷贝 property。
如果不需要拷贝 property，这个函数内部有可能引用自身的某个 property，需要考虑 js 里的 this 绑定问题。考虑 ES6 以后箭头函数和普通函数的 this 绑定问题(如何判断是普通函数还是箭头函数： https://stackoverflow.com/questions/28222228/javascript-es6-test-for-arrow-function-built-in-function-regular-function)，无论是哪种函数，可靠的机制都是 apply 原 function 对象为 this。(这种情况需要考虑多次拷贝以后的调用栈深度，上面 StackOverflow 里的答案有人用双下划线开头的属性 hold 了一个最原始对象解决这个问题--评论有人指出 ES6 以后可以用 Symbol 而不是双下划线这种不太可靠的 trick ）
如果需要拷贝 property，那么相当于 js 里如何深拷贝一个(函数)对象 /map/dict，应该就是逐个遍历这个函数对象的属性，值引用类型的拷贝值，“引用”引用类型的同样作递归的深拷贝。同时考虑是否需要拷贝 property descriptor （ https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/Object/getOwnPropertyDescriptor ）的问题（这里有个参考答案 https://github.com/lodash/lodash/issues/3043 ）。面试的话，我觉得答到这里应该足够了，正常编程中感觉很少出现这种需求。

十三邀还行