我的后端有一個 Node 和 Express api,目前它在 Heroku 上運行,在我的日志中,我看到機器人試圖惡意地向 api 發送垃圾郵件,試圖點擊GET /.env和GET /.aws-secret. 我的 api 只會簡單地回傳 404,因為這些端點不存在,但我想阻止這些機器人發出所有這些請求。我已經有了一個速率限制器,但看到機器人基本上每天都在嘗試訪問端點時仍然發出請求,這很煩人。
我在這里看到了一些關于如何使用 Express 阻止 ip 地址的答案,但我的想法是擁有一個列入黑名單的端點串列(例如GET /.env)并禁止任何向這些端點發出請求的 ip,除非我沒有知道這個解決方案是否理想,擺脫這些試圖攻擊易受攻擊端點的機器人的最佳方法是什么?
uj5u.com熱心網友回復:
您可以將機密檔案和目錄列入黑名單,每次有人嘗試訪問它們時,不要回傳任何回應。
uj5u.com熱心網友回復:
解決這個問題可能比疾病更糟糕。
速率限制很有可能阻止有效用戶,因為腳本在實作目標方面往往比人類更持久。
阻止IP地址?您可能想嘗試一下。請注意,一個 IP 并不意味著一個人、一個機器或一個腳本。IP 通常在通過同一路由器的許多用戶之間共享。這樣做將禁止合法用戶。
最好的想法是某種驗證碼機制——通過解決一個對人類來說很容易但對機器來說很難的謎語來證明你是一個人類。
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/312227.html
標籤:javascript 节点.js 接口 表达 安全