前言
驗(yàn)證碼是阻擋機(jī)器人攻擊的有效實(shí)踐讨越,網(wǎng)絡(luò)爬蟲(chóng)两残,又被稱為網(wǎng)絡(luò)機(jī)器人,是按照一定的規(guī)則把跨,自動(dòng)地抓取網(wǎng)絡(luò)信息和數(shù)據(jù)的程序或者腳本人弓。如何防控,這里簡(jiǎn)單提供幾個(gè)小Tips着逐。
使用nginx的自帶功能
通過(guò)對(duì)httpuseragent阻塞來(lái)實(shí)現(xiàn)崔赌,包括GET/POST方式的請(qǐng)求,以nginx為例滨嘱。
拒絕以wget方式的httpuseragent峰鄙,增加如下內(nèi)容:
Block http user agent - wget
if ($http_user_agent ~* (Wget) ) {
return 403;
}
如何拒絕多種httpuseragent,內(nèi)容如下:
if ($http_user_agent ~ (agent1|agent2|Foo|Wget|Catall Spider|AcoiRobot) ) {
return 403;
}
限制User-Agent字段
User-Agent字段能識(shí)別用戶所使用的操作系統(tǒng)太雨、版本吟榴、CPU、瀏覽器等信息囊扳,如果請(qǐng)求來(lái)自非瀏覽器吩翻,就能識(shí)別其為爬蟲(chóng)兜看,阻止爬蟲(chóng)抓取網(wǎng)站信息。
限制IP或賬號(hào)
根據(jù)業(yè)務(wù)需求狭瞎,要求用戶通過(guò)驗(yàn)證碼后才能使用某些功能或權(quán)限细移。當(dāng)同一IP、同一設(shè)備在一定時(shí)間內(nèi)訪問(wèn)網(wǎng)站的次數(shù)熊锭,系統(tǒng)自動(dòng)限制其訪問(wèn)瀏覽弧轧。只有在輸入正確的驗(yàn)證碼之后才能繼續(xù)訪問(wèn)。
驗(yàn)證碼攔截
在登錄頁(yè)等頁(yè)面碗殷,添加驗(yàn)證碼精绎,以識(shí)別是正常流量還是惡意爬蟲(chóng),也是一種基本的操作锌妻。
HTML代碼:
<script src="captcha.js?appid=xxx"></script>
<script>
kg.captcha({
// 綁定元素代乃,驗(yàn)證框顯示區(qū)域
bind: "#captchaBox3",
// 驗(yàn)證成功事務(wù)處理
success: function(e) {
console.log(e);
document.getElementById('kgCaptchaToken').value = e['token']
},
// 驗(yàn)證失敗事務(wù)處理
failure: function(e) {
console.log(e);
},
// 點(diǎn)擊刷新按鈕時(shí)觸發(fā)
refresh: function(e) {
console.log(e);
}
});
</script>
<div id="captchaBox3">載入中 ...</div>
<input type="hidden" name="kgCaptchaToken" value="" />
Python代碼:
from wsgiref.simple_server import make_server
from KgCaptchaSDK import KgCaptcha
def start(environ, response):
# 填寫(xiě)你的 AppId,在應(yīng)用管理中獲取
AppID = "xxx"
# 填寫(xiě)你的 AppSecret仿粹,在應(yīng)用管理中獲取
AppSecret = "xxx"
request = KgCaptcha(AppID, AppSecret)
# 填寫(xiě)應(yīng)用服務(wù)域名搁吓,在應(yīng)用管理中獲取
request.appCdn = "https://cdn.kgcaptcha.com"
# 請(qǐng)求超時(shí)時(shí)間,秒
request.connectTimeout = 10
# 用戶id/登錄名/手機(jī)號(hào)等信息吭历,當(dāng)安全策略中的防控等級(jí)為3時(shí)必須填寫(xiě)
request.userId = "kgCaptchaDemo"
# 使用其它 WEB 框架時(shí)請(qǐng)刪除 request.parse堕仔,使用框架提供的方法獲取以下相關(guān)參數(shù)
parseEnviron = request.parse(environ)
# 前端驗(yàn)證成功后頒發(fā)的 token,有效期為兩分鐘
request.token = parseEnviron["post"].get("kgCaptchaToken", "") # 前端 _POST["kgCaptchaToken"]
# 客戶端IP地址
request.clientIp = parseEnviron["ip"]
# 客戶端瀏覽器信息
request.clientBrowser = parseEnviron["browser"]
# 來(lái)路域名
request.domain = parseEnviron["domain"]
# 發(fā)送請(qǐng)求
requestResult = request.sendRequest()
if requestResult.code == 0:
# 驗(yàn)證通過(guò)邏輯處理
html = "驗(yàn)證通過(guò)"
else:
# 驗(yàn)證失敗邏輯處理
html = f"{requestResult.msg} - {requestResult.code}"
response("200 OK", [("Content-type", "text/html; charset=utf-8")])
return [bytes(str(html), encoding="utf-8")]
httpd = make_server("0.0.0.0", 8088, start) # 設(shè)置調(diào)試端口 http://localhost:8088/
httpd.serve_forever()
最后
SDK開(kāi)源地址:KgCaptcha (KgCaptcha) · GitHub晌区,順便做了一個(gè)演示:凱格行為驗(yàn)證碼在線體驗(yàn)
