前几天因为评论系统写在前端（使用公开的密钥并且不限制读写）加上压根就没防 xss 攻击直接被伪造身份注入力。现在我把逻辑都移动到了后端，同时在后端清理 HTML 防止 xss 攻击，使用私钥限制读取并且验证身份，应该不会再出现这种情况了……