前端開發者很容易暴露自己的請求地址和參數,我們都知道,一個h5頁面,按 F12 是可以看到頁面的源碼的,所以經常很多人會利用這一點惡意調取別人的接口。
我們公司出現了好多次短信接口被大量調用,導致一天發了幾萬條短信,正常來說一天就幾百條,這期間浪費了那么多條短信。今天,我又發現有人惡意調我們公司的接口,當時同事建議我加 ip 限制,這固然是一種解決方法,但當時接口還在一直被調用,做出這個也花了十幾分鍾,后來才意識到,第一件事應該先去改接口名稱,我后來雖然加了ip限制,但是他還是在換ip不停的調接口,我后來改了接口名稱,立馬就不調了。
所以,大家以后短信接口被轟炸,
- 首先去改接口名稱,換接口名稱是最快的方法。
- 可以去加一些限制,比如說限制單 ip ,同一個手機號訪問次數。
- 加圖片驗證碼,一定要是那種別人無法用機器識別的驗證碼。
- 一些大公司會提供這方面的防范機制,比如阿里雲有小滑塊,用戶發送驗證碼之前需要滑動小滑塊才能請求,和圖片驗證碼是一個道理。
我們剛開始寫代碼的時候都沒有考慮到這些問題,少了很多防范機制,后來業務做大了,遇到了很多安全方面的問題,所以大家還是在一開始開發的時候就考慮到這些問題,避免不必要的損失。