写点什么

恶意爬虫?能让恶意爬虫遁于无形的小 Tips

作者:宙哈哈
  • 2023-04-06
    广东
  • 本文字数:1519 字

    阅读完需:约 5 分钟

前言

验证码是阻挡机器人攻击的有效实践,网络爬虫,又被称为网络机器人,是按照一定的规则,自动地抓取网络信息和数据的程序或者脚本。如何防控,这里简单提供几个小 Tips。


使用 nginx 的自带功能

通过对 httpuseragent 阻塞来实现,包括 GET/POST 方式的请求,以 nginx 为例。


拒绝以 wget 方式的 httpuseragent,增加如下内容:

Block http user agent - wgetif ($http_user_agent ~* (Wget) ) {    return 403;}
复制代码


如何拒绝多种 httpuseragent,内容如下:

if ($http_user_agent ~ (agent1|agent2|Foo|Wget|Catall Spider|AcoiRobot) ) {    return 403;}
复制代码

限制 User-Agent 字段

User-Agent 字段能识别用户所使用的操作系统、版本、CPU、浏览器等信息,如果请求来自非浏览器,就能识别其为爬虫,阻止爬虫抓取网站信息。

限制 IP 或账号

根据业务需求,要求用户通过验证码后才能使用某些功能或权限。当同一 IP、同一设备在一定时间内访问网站的次数,系统自动限制其访问浏览。只有在输入正确的验证码之后才能继续访问。

验证码拦截

在登录页等页面,添加验证码,以识别是正常流量还是恶意爬虫,也是一种基本的操作。


HTML 代码:

<script src="captcha.js?appid=xxx"></script><script>kg.captcha({    // 绑定元素,验证框显示区域    bind: "#captchaBox3",    // 验证成功事务处理    success: function(e) {        console.log(e);        document.getElementById('kgCaptchaToken').value = e['token']    },    // 验证失败事务处理    failure: function(e) {        console.log(e);    },    // 点击刷新按钮时触发    refresh: function(e) {        console.log(e);    }});</script>
<div id="captchaBox3">载入中 ...</div><input type="hidden" name="kgCaptchaToken" value="" />
复制代码


Python 代码:

from wsgiref.simple_server import make_serverfrom KgCaptchaSDK import KgCaptchadef start(environ, response):    # 填写你的 AppId,在应用管理中获取    AppID = "xxx"    # 填写你的 AppSecret,在应用管理中获取    AppSecret = "xxx"    request = KgCaptcha(AppID, AppSecret)    # 填写应用服务域名,在应用管理中获取    request.appCdn = "https://cdn.kgcaptcha.com"    # 请求超时时间,秒    request.connectTimeout = 10    # 用户id/登录名/手机号等信息,当安全策略中的防控等级为3时必须填写    request.userId = "kgCaptchaDemo"    # 使用其它 WEB 框架时请删除 request.parse,使用框架提供的方法获取以下相关参数    parseEnviron = request.parse(environ)    # 前端验证成功后颁发的 token,有效期为两分钟    request.token = parseEnviron["post"].get("kgCaptchaToken", "")  # 前端 _POST["kgCaptchaToken"]    # 客户端IP地址    request.clientIp = parseEnviron["ip"]    # 客户端浏览器信息    request.clientBrowser = parseEnviron["browser"]    # 来路域名    request.domain = parseEnviron["domain"]    # 发送请求    requestResult = request.sendRequest()    if requestResult.code == 0:        # 验证通过逻辑处理        html = "验证通过"    else:        # 验证失败逻辑处理        html = f"{requestResult.msg} - {requestResult.code}"    response("200 OK", [("Content-type", "text/html; charset=utf-8")])    return [bytes(str(html), encoding="utf-8")]httpd = make_server("0.0.0.0", 8088, start)  # 设置调试端口  http://localhost:8088/httpd.serve_forever()
复制代码

最后

SDK 开源地址:KgCaptcha (KgCaptcha) · GitHub,顺便做了一个演示:凯格行为验证码在线体验


用户头像

宙哈哈

关注

还未添加个人签名 2023-03-09 加入

还未添加个人简介

评论

发布
暂无评论
恶意爬虫?能让恶意爬虫遁于无形的小Tips_Python_宙哈哈_InfoQ写作社区