如何知道网络请求是从浏览器发出的

要不人脸识别吧，也别管是人还是自动程序了，反正你就要求个人坐在摄像头前面

29 楼总结的挺完整的了。

@pingdog js pow 怎么玩？谢谢🙏

@Ketteiron #55 https://m.wandacinemas.com/login 大佬登录流程跑通

@liudewa #63 开始了 我给你开始倒计时

行为轨迹

唯一的办法就是行为监测，但这很容易误伤正常用户，检测是否是人类的算法再完美也没用，到最后就是猛弹窗验证码，肥了打码平台，公开数据真那么重要还不如直接开放合理定价（不合理人家还是选择爬）的 pai 付费接口，钱捞到才是真的。

其实无解 你只能从用户行为上进行判断 比如短时间内获取了大量数据这种很大概率是有问题的

@liudewa #64 这全是明文啊，混淆个鬼。而且就算关键接口有混淆，这种场景也并不需要破解，只会 py requests 的话你还得多练。

@linxiaojialin #57 可以实现，js 逆向是基本功，摸清用户行为控制的级别和边界，看情况上分布式、退避算法、接入 AI 。
为了不给灰产送子弹，不会提供具体细节。

@yb2313 #67 接入 AI+MCP 后行为监测也没用了，cloudflare 现在是用 AI 去识别用户是否是 AI ，识别率感人，喜欢用纯键盘(比如我)翻网页的人几乎被误伤到没法用了。

@Ketteiron #69 那你写一个 demo 出来 参数肯定有加密啊

@Ketteiron #69 别扯别的 这个地址你能用 协议带参数请求返回成功 就行了 跑不通少在网上口嗨

最简单的就是加验证码，有个验证码方案是 hash 算力检测，无头浏览器基本过不了，可以访问 openwrt.org 看看。
然后就是链接行为检测了，TLS 握手、指纹等等，这方面最擅长的是 GFW...

@liudewa #72 请求验证码接口 电话号码明文，得到 requestID
请求登录接口，也全是明文，然后直接就登进去了
后续看了下改地址、选电影院也没有什么问题
兄弟，你不会连构造 cookie 都不会吧，玩这套流程让我回到了二十年前。

@Ketteiron #55
下次有人说你吃了两碗凉粉的时候不是抛开肚子给他们看吃了几碗，而是把他眼珠子挖出来吞进肚子里让他们看看到底是几碗

@Ketteiron #75 请求头有个 check 字段 你没看出来? 你把它算法 挖出来吧 写到 js 文件 发出来

@liudewa #77 算法藏在 gowasm 里，不可能挖出来，hook 调用不就行了
最简答的上 playwright

这个方向是错的，客户端 0 信任

在互联网上，没人知道你是一条狗.jpg