时间:2021-07-01 10:21:17 帮助过:26人阅读
PHP网站注册的时候发送短信接口被人模拟POST请求刷短信,如何解决?
我知道的有两种:
1、在页面加上csrf_token,php的CI框架都代这种的。
2、访问频率限制,(同ip限制,同号码限制)等等。
改成必须要有 token 才能发送短信。例如加一个图片验证码。
加个限制,一分钟只能发一次,一天最多50次,这也是大多数网站的做法。csrf_token也不是不能破的,我可以用软件先访问一下生成token的页面获取嘛。
一个请求一个token,有效值得一次,设置过期时间。目前我也是这么做的。token验证失败,缺失,都是属于非法提交。要是更加保险,参考下上面哥们说的。都是很常用的手段,静听其他哥们意见。
1,前端加token(图形效验)
2,同号码设置60-100秒请求间隔。
3,设置同意号码一天内的请求次数(6-8)
同ip不建议限制,以上3个步骤可以挡下大部分机器人,
最后一步,可以考虑https传输
另外推荐个开发者专用的短信api:www.shsixun.com
目前市面,有几种新型的图形验证方案,还是不错的,你可以看看这个:https://luosimao.com/service/captcha