伪造http头的IP地址绕过throttle频率限制

问答 / 1 / 7 / 创建于 3年前 / 更新于 3年前

throttle通过IP限制用户访问频率，但是访问接口时如果更改x-forwarded-for里的合法IP地址，还是能绕过接口访问频率，特别是发送短信的接口，别有用心的人写点代码就可以做一个短信炸弹，求教这个怎么解决

dreamboycx

4 声望

每天进步一点点。。。

0 人点赞

从零开发一个电商项目，功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等

从小程序个人账户申请开始，带你一步步进行开发一个微信小程序，直到提交微信控制台上线发布。

推荐文章：

更多推荐...

博客

用 Laravel12 Startkit 做了一个 composer 私有包托管平台 😂 点赞超过 20 个开源，看看需要的人多不多 28 / 19 |

如何打造令后端面试官印象深刻的简历？ 16 / 10 |

博客

花了四个月打磨的 Laravel Plus 开源 30 / 98 |

博客

冯老师的困惑 —— 一个跑了两年的 BUG 21 / 17 |

博客

在laravel下实现全双工的websocket开发 21 / 8 |

分享创造

无需修改任何代码和扩展将你的Laravel项目性能提高20倍 101 / 100 |

讨论数量: 7

Su

见习助教 306 声望

加图片验证码，或者接入其他验证方式

Laravel

3年前评论

dreamboycx （楼主）

这是一个方法

xing393939

278 声望

如果是nginx->fpm，nginx要配置重写x-forwarded-for吧

3年前评论

ost1023

0 声望

加个验证码，然后短信发送频率也加入限制

3年前评论

张三

48 声望

接收验证码的话，可以按手机号做验证

同一手机号每5分钟只能接收1次验证码同一手机号每天只能接收5次验证码

3年前评论

dreamboycx （楼主）

这个不太行，有可能把所有手机号放到一个集合里，循环发信息消耗你的短信条数

kis龍

Laravel 9.x 译者 500 声望

我想到的只有2中方法

使用remote_addr，地址肯定正确(如果自封包的有可能不准，区别就是运营商会不会转发假ip包，他们ips a.a.a.a,但源地址是 b.b.b.b ,这个就是假包)
使用代理的，设置 ip 信任代理，比如127.0.0.1，cdn IP，这些过滤后，就是对方的真实 IP，laravel可以配置的，没记错的话用的是 symfony

3年前评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助

伪造http头的IP地址绕过throttle频率限制

推荐文章：

社区赞助商

关于 LearnKu

资源推荐

服务提供商

其他信息

伪造http头的IP地址绕过throttle频率限制

推荐文章：

社区赞助商

关于 LearnKu

资源推荐

服务提供商

其他信息

请登录