如何防止表单在 5 分钟内提交多次？

Question

我最近发现我的 PM 系统存在一个巨大的安全问题，该系统允许用户通过地址栏中的 for 循环发送任意数量的消息。有人将其放入地址栏：

javascript:for(x=0;x<10000;x++){ $('#compose form').submit(); }

该消息已发送给我 1000 次，而我的收件箱充满了相同的消息，而且我的数据库已满，以至于 phpMyAdmin 非常缓慢。

我的问题是，我该如何防止这种情况发生？这是一个主要问题。

此外，表单是通过 AJAX 提交的。

编辑：

我使用 PHP，那么如何防止这种情况发生呢？就像我怎样才能做到每 5 分钟左右只能发送一条消息，如果他们在 5 分钟内提交多条消息，它将显示错误（或者根本不显示任何用户反馈，只是阻止其提交） ）？

Answer 1

有一种明显的方法可以修复它，并且问题不在于客户端 - 它在于服务器端。

您的服务器脚本不应允许过于频繁地发送消息 - 例如。通常每 10 分钟一次。为此，您可以在服务器端使用会话机制，并在用户发送电子邮件时保存信息。如果用户尚未发送电子邮件，您还应该将该信息保存在会话中 - 以区分启用会话的人和禁用会话的人（并且您应该完全阻止后者发送电子邮件）。

会话的实现方式（具体代码）取决于您用于服务器端脚本的语言（PHP、Python、JSP 等）。

Answer 2

如果有人知道对您执行此操作，您可能无法在客户端执行任何操作，因此我想说的唯一选择是您记录或保留请求数量（可能针对特定资源）的计数等，并且拒绝特定用户的请求（或发送“繁忙”http 代码等）。

我认为最简单的方法是计算来自特定 IP 地址的请求（这显然有缺点，例如代理或 NAT 后面的多个用户等）。

实际的解决方案将取决于您的服务器端语言和 Web 服务器，但您也许可以制定一个规则并看看它是如何工作的。每个 IP 地址每分钟 5 个请求（或适合您的使用的任何请求）。

Answer 3

正如其他人所说，您必须在服务器上实施保护。再多的客户端编码也无法提供保护。

保护服务器免受此类滥用的常见方法称为速率限制。您决定希望给定客户端能够提交消息的频率，并对服务器进行编码以忽略超出该限制的任何消息。

例如，您可以决定每分钟允许不超过一条消息，每 10 分钟不超过两条消息，每小时不超过四条消息。您选择任何您认为合理的内容，然后根据该算法进行编码。

在您的服务器中，您必须能够识别消息来自哪个用户（很可能通过身份验证 cookie），并且在您的数据库中，您必须能够找出最后一条消息的发送时间那个用户。您甚至可以将该信息缓存在服务器的 RAM 中（取决于服务器的工作方式），以避免每个请求都进行数据库查找，因为您只需要保留最新信息，并且只需要对重复违规者进行性能优化（那些试图滥用您的服务器并因此最近发送了请求的人）。

Answer 4

我同意每个人都发布的关于速率限制的内容。

然而，这在服务器端实现起来可能非常复杂。尤其是当您开始横向扩展时。而且，老实说，如果 1000 条消息对你造成了那么严重的伤害 - 我的建议可能更适用于你。

您可能不想自己实现此操作，而是希望寻找第三方服务来为您执行此操作，例如这个超酷的 Web 服务代理 Apigee

具体而言，其功能之一是 API 速率限制。 （参见链接）