如何知道网络请求是从浏览器发出的

UA?

无解

@jiuhuicinv 这是最容易模拟的

各种无头浏览器

买 ip 库，检测到 proxy/idc 跑 js PoW ，captcha 验证码，加 fingerprint 差不多了，再搞多就不化算，防的成本多于攻

用户雇个大学生手动操作也就 3000 一个月

不能，只能结合行为做上下文分析

想到一个麻烦的办法，也是爬虫模拟与真实操作的本质区别
在访问网页时，真实的业务访问是连续的，间隔的，同一个用户在特定的业务中是不可能出现并发的，即使用户模拟 js 很厉害，但是在模拟业务次序，调整请求间隔上很难做到与真实用户一样

@leokun #8
检测请求间隔
人的请求间隔是不稳定的，无规律的。
而大部分爬虫往往使用 sleep(random(x,y))的方法模拟间隔，这种均匀分布有很明显的特征

可以考虑拒绝掉新建连接的第一个请求包，这样可以确保地址不被探活

浏览器 ja3 签名/浏览器指纹之类的

这属于攻防了，对方水平很高，那建议花更多的钱请个高人或者找业内顶尖团队，否则记录日志就能挡住一些新手写的爬虫了

无解
最多是对前端请求做个摘要, 后端接到后进行验证, 这个只能提高门槛
另外就是加蜜罐, 这样能知道哪些用户是不正常的.

用户模拟 js 的水平很高？

用户直接上无头浏览器！

调用 GPU 不给用的 直接怕黑

比较有效的方法一是带上各种人机交互验证，二是监控用户鼠标轨迹
但是对抗情形下，都有破解的方法：第三方解码、多轨迹回放，只不过会大大增加攻击者的成本

你说的这个无非就是反爬，没有最终的方案，都只是攻防而已

@leokun #8 这是个蠢办法，你怎么确定，你不会 ban 掉真实的用户？

无解，人家用无头浏览器，ai 操作

无非猫捉老鼠，后台搞个无头浏览器