产品出的页面要求基本是直接使用的,没有用户、登录机制。 因为利益问题,某些接口出现了一些恶意请求来捣乱,我基于 IP 、客户端特征做了一些频率限制、封 IP 策略。 但无法根治,攻击方应该是专业黑产,封完 IP 或者客户端特征后,对方也会针对性的做调整来刷接口,基本上对方每天能换上百个 IP 来刷。 和产品聊过,产品不愿意做登录机制,验证码机制之类的。 机制, 登录, 黑产, 客户端