jinliming2

手机挂代理的话，两种模式，直接手动配 HTTP 代理，部分软件不认，装软件走 VPN 模式的代理，部分软件会识别并拒绝启动。（当然要是你用的软件不存在这些情况的话，那就没啥区别了）
用软路由的一个比较重要的点就是防止软件检测到你开了代理，或者部分国产软件会扫描你的代理信息。另外就是设备无需配置，新设备连上 WiFi 、插上网线就能用，规则都可以自己定。
从上面你的描述来看，除了性能问题是否能跑满带宽这个我设备不一样无法评价以外，其他的基本都是你用的系统、配置之类的问题，我这边是自己装的 Linux 然后完全自己配的，不存在你所列举的这些问题。

注：iOS 快捷指令的自动化，无法自动执行 到达位置 的任务，此类任务会在触发时弹出通知，还需要手动点一下通知才会执行。
https://support.apple.com/en-gb/guide/shortcuts/apd602971e63/ios

@Masoud2023 #28 自己动手搜一下，很难吗？又不是啥高深的技术，伸手要的话，给你个关键词 IP address spoofing

@xuanbg #24 TCP 三次握手仅仅依赖于 SYN 同步的序号。TCP 序号预测攻击，通过某种方式预测出你服务器响应的序号，然后给服务器发伪造的 ACK 即可。
另外，如我上面所说，如果在骨干网上控制了网络路由的中间节点，比如国际、省级出入口，那么就不需要预测那么麻烦了，直接在中间路由上抓响应包就行。
还有一点是，部分软件会监听 UDP 端口，如果有漏洞的话……

另外，容器化也并非完全安全，容器逃逸也是漏洞挖掘的一个方向，容器内运行的程序逃逸到主机来执行代码。之前刷 CTF 的时候有道题就是在 Linux 下用 wine 虚拟化执行的 Windows 程序，要逃逸到主机执行 Linux 下的程序。

总之，没有绝对的安全，只有提升攻击成本，降低攻击的收益，才能提高安全性。

@Masoud2023 #25 简单了解一下网络数据包的结构，数据包里面包含源地址和目的地址，你只要修改一个数据包里的源地址就行了。

@xuanbg #22 要谈安全的话，IP 白名单也不是 100% 安全，如果你其他软件有漏洞，也可能在非白名单 IP 下对你实施攻击。
没有密码都安全得不得了？你最好不要有这种想法。
因为源 IP 是可以伪造的，这个是 DDoS 常用的手段之一，也是 DNS 污染使用的手段之一。但用来单点攻击的话效率太低收益太低，但如果针对性攻击的话，也是存在被利用的可能。
假设你白名单只放行了 2.2.2.2 ，而我在 3.3.3.3 ，我只要伪造一个源地址为 2.2.2.2 的数据包就能过你的防火墙。虽然你的回包会发回给 2.2.2.2 ，我可能收不到，但是如果有其他漏洞的话，一个精心构造的包就可以利用了（甚至于你都没有密码），那实际上也就不关心回包内容了（有可能拿到你主动发过来的反弹 shell ）。
另外，如果攻击者控制了你回包的中间路由链路，比如某地区的出入口链路、或者在你家小区的 ISP ，那么回包的内容也是可以拿到的。

另，我觉得终极安全是让攻击者看不到收益，对你发动攻击的性价比太低，以致于没人愿意攻击你，那才是最安全的。

@jin7 #13 如果在没有其他安全措施的情况下，那么放在 body 里，并且不接受 application/x-www-form-urlencoded 或者 multipart/form-data 作为 body 的话，而是使用类似于 application/json 之类的，可以在一定程度上防 CSRF ，因为即便是 POST ，符合简单请求 simple request 条件的话，也是不会进行 preflight 预检的。

各种技术的综合吧，简单的比如接口加混淆参数，前端代码混淆，这样可以提高门槛。
另外就是服务端做风控，举个例子，比如你访问网站的时候给你下发一个看起来没用的 cookie ，接口提交的时候没有这个 cookie 貌似也可以成功，但服务端已经知道接口请求不正常了，就会“以让你看起来正常的方式”失败，比如还有票，就给你说票没了，或者降低你这个接口的权重，票量充足就成功，票不足的时候优先让给其他用户。如果一直用这样的方式来发请求，就会把账号标记为黑号等。
当然，也不一定是用 cookie ，也可以用行为，比如正常操作抢票的话，会按顺序调用哪几个接口，但到你这里没有这些前序步骤了，也会标记为不正常。