引用 @shintendo 的话“叽里咕噜说一堆” 从头到尾看了两遍，才发现 OP 只是在推广自己的项目 > 也就是说需要一个分布式的 mkcert ，cert-ctrl ，这个是我们写的。 dev env 直接让 SRE 在 cors policy 加多一个 localhost 不就行了吗，搞这么复杂，反正 dev 上的资源随便

@jianglibo ？那我问你，如果你这个证书，泄露了怎么办，谁都可以远程调用你的生产环境

前段时间遇到 2 回这个情况,当时还是挺烦的.

@pingdog 那 Cookies + CORS 如何解决？必须用 https 了吧。：），所以在 chrome 下你无法调试登陆，在你提到的场景下，更加需要 cert-ctrl ，下次你公司碰到这个问题时，希望你能想到这个贴子。 Cross-site cookies REQUIRE SameSite=None; Secure But Secure cookies cannot be set over HTTP

@xitler 选择 device wrapper only ，服务器端无法解密，必须时客户端的私钥解密，私钥从不离开你的服务器。

申请个域名指向本地, 然后使用证书管理工具获取对应的证书

@xitler 选择有效期 6 天的证书，以保证最大的安全性。

@sofukwird 你的解决方案可行，但经常更新比较烦，自认证证书设个 20 年，整个职业生涯哦都不需要更新了。

CORS 不是坑是特性

@sofukwird #25 我的工具 https://github.com/zcf0508/unplugin-https-reverse-proxy 可以自动在本地添加 host 并且配置证书，无缝调试