WEB应用的某个方法被莫名客户端强刷

发布于 2021-12-04 04:36:11 字数 228 浏览 711 评论 6

以spring mybatis开发了一个web应用,部署是Nginx&tomcat,本身访问量不大,偶然发现Nginx的访问日志与tomcat的日志骤增,检查原因是其中有一个不需要登录验证的方法暴露在外网,某个恶意的客户端用代理ip的方式一直来请求,模拟正常业务。  不能在Nginx里面配置IP白名单的方式,因为用户4G网络IP并不固定, 各位有什么办法能防止这种恶意请求么,最好是不要进入controller?

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(6

回眸一笑 2021-12-08 10:12:46

业务请求过来,根据业务场景来确定,限制该业务每个ip的可访问频次,可以用redis实现计数和超时,并在后台设置增加ip黑白名单功能,只能减少部分请求,量不是超大后端再搞集群应该能扛住,还可以搞请求限流,关键是不太好区分请求是正常还是非正常。

孤檠 2021-12-08 09:51:59

验证码是考虑过了,只是需要增加用户的操作复杂度;限时限次的话,模拟请求的IP是不固定了,请求频率也是随机的,我没有找到一个合适的通用信息来作为判断的依据

为你鎻心 2021-12-08 05:30:07

回复
如果还是不好控制那可以尝试下通过cookie来记录每个客户端的访问次数 如果1分钟内某个客户端访问超过N次 那就说明不正常 可以给出访问频繁的警告提示 这样的话对正常用户来说也不会影响

爱的那么颓废 2021-12-07 02:18:17

提供两种解决思路,可以尝试一下

1、加验证码

2、获取user agent提取里面的通用信息   限时限次访问

月牙弯弯 2021-12-06 21:06:44

这个请求一直不间断的来刷业务,只是每次过来请求的ip不同,所以肯定是恶意的自动化操作

孤檠 2021-12-05 14:15:02

你怎么判断他是恶意的,就怎么放吧

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文