龙空技术网

互联网常见的安全认证手段

正能量阿斌日常 81

前言:

今天同学们对“图片验证码接口 怎么防刷”大体比较注重,我们都需要剖析一些“图片验证码接口 怎么防刷”的相关文章。那么小编也在网上汇集了一些关于“图片验证码接口 怎么防刷””的相关资讯,希望兄弟们能喜欢,大家快快来学习一下吧!

1、XSS攻击

通俗的理解,XSS攻击俗称脚本攻击,一般在表单提交时通过JavaScript语言来发起攻击。

解决方案:可以在后端通过编写Filter的方式来拦截请求,然后对表单中的特殊字符进行转义操作,如:'<script>' 通过 StringEscapeUtils 类进行转义。

2、SQL注入漏洞

一般造成这种原因的可能为:在编写sql的时候通过字符串拼接的方式造成的

解决方案:编写sql的时候采用sql预编译的方式,参数通过传参的方式【参数一般采用#占位的方式来传入】

3、防盗链技术

一般常见于在别人网站盗用别人的图片、视频,可以通过使用http请求协议中的Referer来记录请求的来源。

解决方案:通过过滤器Filter来拦截请求,然后判断请求来源中的域名地址【Referer记录中的】与需要限制访问的域名是否一致,如果不一致可能被盗用 ,当Referer为 null,表示直接访问服务的资源

4、API幂等性保证

API幂等性主要是为了防止暴力刷接口的行为,一般我们通过Token【令牌】来实现,此时,我们需要考虑Token的生成方案,在分布式系统中,一般采取如:分布式全局id

5、CSRF、XSRF攻击【伪造请求】

这种攻击方式,通过抓包获取token,分析Token信息,然后使用token模拟伪造请求

解决方案:可以在调用接口的时候,确认是本人操作如:常见的短信验证、一般在核心接口上一定要做本人操作的确认,如密码修改操作。

6、忘记密码漏洞

一般针对于短信验证码为全都是数字,如 4位的验证码,可以通过暴力破解的方式通过Java httpClient技术开起多线程访问接口。

解决方案:一般验证码不要全为数字、如找回密码重试5次之后,出现图形验证码校验。

标签: #图片验证码接口 怎么防刷 #js图片防盗链