开发中需要防止用户哪些骚操作(测试鸭通关总结)

首先的话作为一个标准安全的后台认证和鉴权是一定要做好的,除此之外一下业务场景和常见问题也要进行考虑和预防。

一.收藏和点赞

网页前端和后端都要对点赞和收藏状态进行控制。简单说就是已经点赞和收藏的用户不能再进行点赞和收藏。

二.频繁请求某个接口

解决方案:通过用户id或者IP等限制用户的访问次数/访问频率

【1】场景一:刷访问量和搜索量
对用户刷量行为进行控制(最终会影响的推荐,排行榜之类功能的准确性),可以根据用户 id 或 IP 等维度来保证单用户的浏览量不重复统计来避免刷量。
【2】场景二:爬虫
可以通过校验码、限制用户浏览条数等方式一定程度上预防爬虫
【3】场景三:用户疯狂调用很消耗资源的接口
如收费的API接口(手机验证码)烧钱!,上传文件的接口,很消耗CPU或者带宽的接口等等
【4】场景四:用户暴力破解密码登录
可以通过验证码、限流、限制单账号密码错误次数等方式防止密码暴力破解

三.用户输入
【1】对用户评论和发布的内容进行审核,防止灌水和黄色暴力等内容
【2】输入过长--前后端都需要检查用户输入的内容是否太长
【3】邮件和手机号输入是否合法

前后端都需要对用户输入的邮件和手机号用正则表达式进行检查

四.上传文件的骚操作

上传文件是一件很消费硬盘和带宽的事情,而且用户的文件也不一定是安全的。
所以我们要防止用户上传超大文件或者频繁上传文件或者上传危险的脚本文件
解决方法:(1)限制上传文件的大小和格式
(2)如果用户频繁访问超大图片,给存储文件添加防盗链、缓存等防护 / 减压措施,防止资源浪费

五.XSS(代办)

六.DOS和DDOS

尽量不要暴露源站 IP,并且给系统添加防火墙等方法策略

你可能感兴趣的:(测试,测试,安全)