前端開發者很容易暴露自己的請求地址和參數,我們都知道,一個h5頁面,按 F12 是可以看到頁面的源碼的,所以經常很多人會利用這一點惡意調取別人的介面。 我們公司出現了好多次簡訊介面被大量調用,導致一天發了幾萬條簡訊,正常來說一天就幾百條,這期間浪費了那麼多條簡訊。今天,我又發現有人惡意調我們公司的接 ...
前端開發者很容易暴露自己的請求地址和參數,我們都知道,一個h5頁面,按 F12 是可以看到頁面的源碼的,所以經常很多人會利用這一點惡意調取別人的介面。
我們公司出現了好多次簡訊介面被大量調用,導致一天發了幾萬條簡訊,正常來說一天就幾百條,這期間浪費了那麼多條簡訊。今天,我又發現有人惡意調我們公司的介面,當時同事建議我加 ip 限制,這固然是一種解決方法,但當時介面還在一直被調用,做出這個也花了十幾分鐘,後來才意識到,第一件事應該先去改介面名稱,我後來雖然加了ip限制,但是他還是在換ip不停的調介面,我後來改了介面名稱,立馬就不調了。
所以,大家以後簡訊介面被轟炸,
- 首先去改介面名稱,換介面名稱是最快的方法。
- 可以去加一些限制,比如說限制單 ip ,同一個手機號訪問次數。
- 加圖片驗證碼,一定要是那種別人無法用機器識別的驗證碼。
- 一些大公司會提供這方面的防範機制,比如阿裡雲有小滑塊,用戶發送驗證碼之前需要滑動小滑塊才能請求,和圖片驗證碼是一個道理。
我們剛開始寫代碼的時候都沒有考慮到這些問題,少了很多防範機制,後來業務做大了,遇到了很多安全方面的問題,所以大家還是在一開始開發的時候就考慮到這些問題,避免不必要的損失。