前端开发者很容易暴露自己的请求地址和参数,我们都知道,一个h5页面,按 F12 是可以看到页面的源码的,所以经常很多人会利用这一点恶意调取别人的接口。
我们公司出现了好多次短信接口被大量调用,导致一天发了几万条短信,正常来说一天就几百条,这期间浪费了那么多条短信。今天,我又发现有人恶意调我们公司的接口,当时同事建议我加 ip 限制,这固然是一种解决方法,但当时接口还在一直被调用,做出这个也花了十几分钟,后来才意识到,第一件事应该先去改接口名称,我后来虽然加了ip限制,但是他还是在换ip不停的调接口,我后来改了接口名称,立马就不调了。
所以,大家以后短信接口被轰炸,
- 首先去改接口名称,换接口名称是最快的方法。
- 可以去加一些限制,比如说限制单 ip ,同一个手机号访问次数。
- 加图片验证码,一定要是那种别人无法用机器识别的验证码。
- 一些大公司会提供这方面的防范机制,比如阿里云有小滑块,用户发送验证码之前需要滑动小滑块才能请求,和图片验证码是一个道理。
我们刚开始写代码的时候都没有考虑到这些问题,少了很多防范机制,后来业务做大了,遇到了很多安全方面的问题,所以大家还是在一开始开发的时候就考虑到这些问题,避免不必要的损失。