伪造http头的IP地址绕过throttle频率限制

问答 / 1 / 7 / 创建于 4年前 / 更新于 4年前

throttle通过IP限制用户访问频率，但是访问接口时如果更改x-forwarded-for里的合法IP地址，还是能绕过接口访问频率，特别是发送短信的接口，别有用心的人写点代码就可以做一个短信炸弹，求教这个怎么解决

dreamboycx

5 声望

每天进步一点点。。。

0 人点赞

你将学到如 RESTFul 设计风格、PostMan 的使用、OAuth 流程，JWT 概念及使用和 API 开发相关的进阶知识。

以构建论坛项目 LaraBBS 为线索，展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。

推荐文章：

更多推荐...

博客

Laravel-Admin 项目重生，我 fork 了原项目继续维护！ 23 / 35 |

分享创造

价值千万的诊所saas项目正式开源 14 / 26 |

博客

Dcat-Plus-Admin：dcat-admin框架的超级增强版，开发效率提升200%！ 18 / 17 |

博客

用 Laravel12 Startkit 做了一个 composer 私有包托管平台 😂 点赞超过 20 个开源，看看需要的人多不多 29 / 21 |

如何打造令后端面试官印象深刻的简历？ 16 / 10 |

博客

花了四个月打磨的 Laravel Plus 开源 34 / 104 |

讨论数量: 7

Su

见习助教 306 声望

加图片验证码，或者接入其他验证方式

Laravel

4年前评论

dreamboycx （楼主）

这是一个方法

xing393939

278 声望

如果是nginx->fpm，nginx要配置重写x-forwarded-for吧

4年前评论

ost1023

0 声望

加个验证码，然后短信发送频率也加入限制

4年前评论

张三

48 声望

接收验证码的话，可以按手机号做验证

同一手机号每5分钟只能接收1次验证码同一手机号每天只能接收5次验证码

4年前评论

dreamboycx （楼主）

这个不太行，有可能把所有手机号放到一个集合里，循环发信息消耗你的短信条数

kis龍

Laravel 9.x 译者 511 声望

我想到的只有2中方法

使用remote_addr，地址肯定正确(如果自封包的有可能不准，区别就是运营商会不会转发假ip包，他们ips a.a.a.a,但源地址是 b.b.b.b ,这个就是假包)
使用代理的，设置 ip 信任代理，比如127.0.0.1，cdn IP，这些过滤后，就是对方的真实 IP，laravel可以配置的，没记错的话用的是 symfony

4年前评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助

伪造http头的IP地址绕过throttle频率限制

推荐文章：

社区赞助商

关于 LearnKu

资源推荐

服务提供商

其他信息

伪造http头的IP地址绕过throttle频率限制

推荐文章：

社区赞助商

关于 LearnKu

资源推荐

服务提供商

其他信息

请登录