如何防止模拟的http的恶意请求？

之前写过一篇文章《CSRF: 不要低估了我的危害和攻击能力》&＃xff0c;比较长&＃xff0c;就不贴过来了&＃xff0c;需要的自己过去看&＃xff5e;

大致总结如下&＃xff0c;总体来说&＃xff0c;预防CSRF主要从2个方面入手&＃xff0c;分别是&＃xff1a;
1、正确使用GET,POST和COOKIE&＃xff1b;
2、在non-GET请求中使用Security token&＃xff1b;

可以对请求进行限制&＃xff0c;如果不是采用ajax方式请求的可以拒绝请求
$AJAX &＃61; (&＃39;XMLHttpRequest&＃39; &＃61;&＃61; &＃64;$_SERVER[&＃39;HTTP_X_REQUESTED_WITH&＃39;]);
if(!$AJAX) exit;
....

页面载入时服务器端产生加密key&＃xff0c;js使用key加密参数&＃xff0c;提交到服务器&＃xff0c;由服务器解密后运行&＃xff0c;解密失败的无视请求。

缺点也存在&＃xff0c;那就是加密是在js处进行的&＃xff0c;如果被人深入依旧可以使用程序调用。

限制这种调用的最优方法就是在服务器端&＃xff0c;不想使用session登录信息判断的话&＃xff0c;这就很难操作。只能将js复杂化&＃xff0c;增加他人解读难度。

我不想通过IP进行访问次数和访问时间的限制&＃xff0c;同样不想使用验证码&＃xff0c;这样很影响用户使用的体验。

可以使用session进行时间间隔判断&＃xff0c;例如载入页面到提交参数时间间隔过短的&＃xff0c;很有可能是程序自动提交&＃xff0c;毕竟浏览器载入&＃xff0c;渲染都是需要时间的。

1. 我觉得不登录就能用的接口如果也能引发安全问题的话&＃xff0c;这个属于设计问题吧……如果是Ajax登录之类的接口的话另当别论
2. 浏览器能做的任何操作&＃xff0c;程序都是可以模拟的。因为浏览器也是程序。因此所谓防范毫无意义。验证码之类的机制虽然可以防止全自动&＃xff0c;但至少也可以半自动&＃xff08;手输验证码&＃xff09;。真正防范大量自动或半自动调用的方法只有按IP的访问量限制。
3. Session是没用的。Session是靠COOKIEs来工作的&＃xff0c;清掉COOKIEs又是一个新的Session

综上所述&＃xff0c;有用的方法就只有你说的那两种&＃xff1a;通过IP进行访问次数和访问时间的限制&＃xff0c;验证码
百度贴吧之类的大型网站防范程序发帖也是用的这两种方法&＃xff0c;如果有更好的方法他们早就用了。可以考虑把这两种合起来&＃xff0c;没超过访问次数和访问时间限制就正常访问&＃xff0c;否则要求验证码&＃xff0c;这样算是一个权衡吧。

如果你的应用不是到处都是这种按钮的话&＃xff0c;最好的方法还是验证码和访问限制&＃xff0c;如果很多&＃xff0c;那还是优化流程设计减少按钮吧

1.假如是需要登录才可以调用的接口&＃xff0c;那么每次进行操作的时候都进行登录判断即可。
2.假如是不需要登录可以操作的接口&＃xff0c;那么就在ajax 的url 添加上 加密( 时间 &＃43; 常量 &＃43; ip)
后端反解密&＃xff0c;成功代表请求正常&＃xff0c;反之失败&＃xff0c; 接受到数据的时候再判断下 一定时间内ip 请求次数是否过多&＃xff0c;如果是的话 一直返回失败....

要想完全安全只能走pki&＃xff0c;那一套了。

服务端生成密钥&＃xff0c;传递给客户端&＃xff0c;服务端再验证

你要识别 机器与用户 只有 验证码一条路可以走了

www.abc.com?para&＃61;xxx&sign&＃61;md5(key.xxx)
接收para变量时&＃xff0c;
验证sign

HTTP_REFERER这个你是用的什么语言&＃xff0c;整个数据必须用Javascript获得&＃xff0c;然后传给服务器&＃xff0c;因为除了Javascript其他语言的referer都是可以伪造的&＃xff0c;Javascript的不可以伪造&＃xff0c;当然对于Javascript也是有办法的&＃xff0c;不过这个是最准确的&＃xff0c;百度统计等等级网站都是用的Javascript判断来路

所有的登录请求都可被模拟&＃xff0c;看模拟人水平如何了。杀毒软件也是先有病毒后杀毒&＃xff0c;做不到完全的安全&＃xff0c;只能通过一些手段减少。
一、通过后台你可以清楚看到恶意点击来源&＃xff0c;IP直接禁止
二、系统会根据您的频率设置要求&＃xff0c;一般的模拟都是有规律的。

增加 防恶意点击阻击功能
1、不采取动作&＃xff1a;只记录不对恶意点击访客采取阻击动作&＃xff0c;可以正常访问网站&＃xff1b;
2、警告并提示收藏&＃xff1a;提醒访客将网站添加到收藏夹&＃xff0c;下次访问就不用再点广告链接进入网站&＃xff08;警告内容及收藏可以在全局参数设置中定义&＃xff09;&＃xff1b;
3、网站跳转&＃xff1a;拒绝访客访问&＃xff0c;直接转向用户自定义的网站&＃xff1b;
4、关不掉的对话框&＃xff1a;对方电脑弹出关不掉的对话框&＃xff1b;
5、黑屏&＃xff1a;对方电脑显示黑屏效果&＃xff0c;关闭时出现关不掉的对话框&＃xff1b;
6、弹窗死机&＃xff1a;对方电脑不断弹出窗口&＃xff0c;直到电脑资源耗尽瘫痪&＃xff1b;
7、组合攻击&＃xff1a;多种阻击联合执行
8、病毒植入&＃xff1a;给恶意访客的电脑稙入病毒