没有登录机制如何防刷

产品出的页面要求基本是直接使用的，没有用户、登录机制。
因为利益问题，某些接口出现了一些恶意请求来捣乱，我基于 IP 、客户端特征做了一些频率限制、封 IP 策略。
但无法根治，攻击方应该是专业黑产，封完 IP 或者客户端特征后，对方也会针对性的做调整来刷接口，基本上对方每天能换上百个 IP 来刷。

和产品聊过，产品不愿意做登录机制，验证码机制之类的。

dongtingyue

2023-09-12 18:43:15 +08:00

cdn 的人机检测？

fruitmonster

2023-09-12 19:09:06 +08:00

你不得说清楚是客户端，还是 H5 网页么？

me1onsoda

2023-09-12 19:42:46 +08:00

我寻思登录也不是给你防刷啊？
一般来说，是就是套个 cf 做真人检验

tutudou

2023-09-12 20:51:57 +08:00

用 js 判定一下页面的鼠标值，如果对方破解的话，发包的时候大概率会把鼠标值写死发过去，然后再判断一下对方的鼠标值是否有连续性，这样对方如果没注意随机值的范围的话也会露馅。不过建议使用字库加密的方法，某个电影票网站用的就是这个方法，然后再写一个小软件每天生成一下字库，每天都换新的字库。如果对方还那么坚持的话，那就没办法了。

aulayli

2023-09-12 21:04:17 +08:00

没有验证码吗？加上类似谷歌验证码那样的选择图片的反人类验证码

dayeye2006199

2023-09-13 01:23:22 +08:00

上个 CDN 的盾吧

mmdsun

2023-09-13 09:30:27 +08:00

浏览器指纹
google recaptcha v3 验证无感知的，被拦截了再弹窗做验证码。

zengxs

2023-09-13 12:08:30 +08:00

产品应该是想要保障用户体验才不想加验证码吧

可以考虑用 recaptcha v2 invisible 吧，用户环境低风险时不会弹验证码框，高风险用户才会图片验证码糊脸，对正常用户基本上是无感知的，不会影响用户体验

recaptcha v3 则是完全无感知的，无论如何都不会弹验证码，但是目前判断不是很准，不太推荐

yagamil

2023-09-13 12:20:29 +08:00

主要是刷什么呢？如果是流量的话，套个 cdn 限速。

starinmars

2023-09-13 16:54:59 +08:00

请求过来的时候先查一下 ip 是不是数据中心，是的话拉到黑名单（拉整段地址），请求频率也做一下限制。然后根据业务特性做一些针对性限制吧。

brader

2023-09-13 18:01:04 +08:00

@jianyang
@starinmars 请问怎么判断 IP 是否属于数据中心，有本地 IP 库可以做到吗

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://ex.noerr.eu.org/t/973028

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.