@mxT52CRuqR6o5 阿这，官方推荐还是渲染进程和主进程各干各的，不给渲染进程直接操作 node 的权利。这样也比较有分层的感觉，javaboy 还挺喜欢

因为 spm 是阿里系的埋点

@kaitok #4 或者换种说法，只要你的用户不能直接在你的 es 上添加 index ，直接修改 DSL ，那你就不受影响

@kaitok #4 查询能力不属于将 es 作为服务。这里指的都是 saas 服务，也就是提供部署好的 es ，让用户可以使用。

@Jooooooooo #12 是的 这些都是有解决方案的，当然和 mybatis 的#{}一样，都需要去手动处理

@fndroid #11 启用 sandbox 的话应该是可以避免 child_process 的调用的吧，至少可以减少影响

@Jooooooooo #9 理论上对于 html 和 js 来说，精心构造的字符串插入页面可以绕过作者本身预期的行为，毕竟是运行时的语言。类似的就是 sql 注入。因此需要对用户输入进行转义。当然转义也可能有某些未被发现的边界情况，不过要绕过这种已经很困难了。

@Jooooooooo #5
1. 外部输入尽量走 escape ，比如 vue 自带的模板标签{{}}
2. browserwindow 启用 sandbox

显然作者偷懒，两个都没做

es 社区版用的是 Elastic License https://www.elastic.co/cn/licensing/elastic-license 吧。这个的限制是禁止将 ES 本体作为服务开放，比如出售 Elasticsearch 服务（阿里云等）。你说的 SSPL 也是限制将本体作为云服务开放的权力，需要开源整个服务。

@longbye0 #34 现在是全二压 没有任何公开的方式可以避免了

@Herry001 #9 Oauth2 的话还能算单点么。。？每个域名都得点一次授权登录

@DimitriYoon #7 cookie 不区分端口，也可以一定程度上的跨域（通过设置 domain ），所以我才推荐用 cookie 解决单点登录。如果你的 token 是前端存在 localstorage 里的话就做不到跨域单点登录了

事实上你可以试试看自己直播和看大主播直播的延迟，一般大主播的延迟反而会高一点，可能你发一条弹幕要过 10-20 秒才能在主播的画面上显示出来，而你自己直播的时候弹幕延迟可能只有 5 秒

@sutra #31 https://www.gnu.org/philosophy/javascript-trap.zh-cn.html 是这个吧

@DimitriYoon #2 你完全不需要考虑前端，最多只需要考虑个 cookie 的 domain 的设置。后端每个接口都会经过认证服务，没通过的就返回个 401 ，前端只要检测到 401 就弹到登录页就好了

大厂比如阿里云之类的，都是直接用 cookie-session 解决的，把 session 存 redis 就行。再搞自己的 token 之类的也只是重新实现一遍 cookie-session 干的事

https://i.imgur.com/48tNttU.png

本质是 dns 服务商给你提供个服务器做 301 302 。国外也有，godaddy 没用过，cloudflare 里叫页面转发规则什么的

@gadfly3173 #1 github 上最后更新时间是前两天，可以考虑自己打包看看

非 kettle 用户，搜了下 这东西是不是改名叫 Pentaho Data Integration 了？好像已经 9.2 版本了