首页 新闻 赞助 找找看

注册时防止被刷的解决方法

0
悬赏园豆:20 [已解决问题] 解决于 2015-04-21 13:59

最近做一个类似黑名单系统,关于在注册时 有什么比较好的解决方案 可防止恶意用户注册 短信验证码除外的解决方法,通过IP限制 IP也能进行修改,有什么比较好的组合策略,还望指点~

问题补充:

如:表单只存放用户名密码的情况下,不增加其他表单项,根据IP之类的进行判断拦截

YangChengHu的主页 YangChengHu | 初学一级 | 园豆:11
提问于:2015-04-20 16:41
< >
分享
最佳答案
0

既然你不考虑效果好的验证方式,你就直接ip验证+浏览器本地存储(写特定cookie、或localStorage)也无可厚非。

收获园豆:10
幻天芒 | 高人七级 |园豆:37175 | 2015-04-21 09:12

不是不考虑好的 是把这些排外后的 还能否有更合理的机制.

YangChengHu | 园豆:11 (初学一级) | 2015-04-21 09:57

@YangChengHu: 你排出的,就是被各大公司实践过的,非常合理的方式。然后我也提供了一个不大严密的机制,当然,如果对方不分析代码,也算是比较严密了。

幻天芒 | 园豆:37175 (高人七级) | 2015-04-21 09:58

@幻天芒: 指的是ip验证+浏览器本地存储吗?

YangChengHu | 园豆:11 (初学一级) | 2015-04-21 10:05

@YangChengHu: 对的。切换ip需要时间,而且可以对国外的ip进行限制(比如强制失败一次),本地存储的话,如果不清理那么切换ip也没用,同时也可以多用几种方式来使用本地存储。如果更复杂一点,你可以在IE上用ActiveX,chrome上有对应的插件,获取硬件信息,这样就能限制得死死的(但是是以牺牲体验为代价的)

幻天芒 | 园豆:37175 (高人七级) | 2015-04-21 10:11
其他回答(3)
0

验证码啊,邮箱验证啊

刘宏玺 | 园豆:14020 (专家六级) | 2015-04-20 16:48

验证码 邮箱验证码都除外的情况下

支持(0) 反对(0) YangChengHu | 园豆:11 (初学一级) | 2015-04-20 16:58

@YangChengHu:  你只开放第三方登录,不做注册功能

支持(0) 反对(0) 刘宏玺 | 园豆:14020 (专家六级) | 2015-04-20 18:56
0

每次请求时生成一个token,提交时验证token。

ASP.NET MVC有现成的解决方法——ValidateAntiForgeryToken,参考:强化网站安全性:避免跨网站脚本攻击(XSS)

收获园豆:10
dudu | 园豆:31075 (高人七级) | 2015-04-20 17:18

这个可以减少软件直接提交

支持(0) 反对(0) dudu | 园豆:31075 (高人七级) | 2015-04-20 17:18

@dudu: 如果我不用form,使用ajax该怎么使用token啊?

支持(0) 反对(0) 羽商宫 | 园豆:2490 (老鸟四级) | 2015-04-21 09:12
支持(0) 反对(0) dudu | 园豆:31075 (高人七级) | 2015-04-21 09:42

@dudu:十分感谢

支持(0) 反对(0) 羽商宫 | 园豆:2490 (老鸟四级) | 2015-04-21 09:44

这个位置的场景 假设就只有html+ashx+ajax提交数据的方式,除了token外 还有没有其他方式,IP MAC之类的组合在一起来判断,甚至根据数据库中的数据与当前请求进行计算判断~

支持(0) 反对(0) YangChengHu | 园豆:11 (初学一级) | 2015-04-21 09:46

@YangChengHu: IP最好结合User Agent进行判断,MAC地址是拿不到的

支持(0) 反对(0) dudu | 园豆:31075 (高人七级) | 2015-04-21 09:50

@dudu: 纠结的地方就在于,怎么限制通过抓包后都可以通过程序恶意注册,但是目前就是需要一个防止的机制,不知道怎么处理。。

支持(0) 反对(0) YangChengHu | 园豆:11 (初学一级) | 2015-04-21 09:56

@YangChengHu: 加验证码。

支持(0) 反对(0) dudu | 园豆:31075 (高人七级) | 2015-04-21 10:09
0

你是如何界定“恶意用户注册”的?

Launcher | 园豆:45045 (高人七级) | 2015-04-21 11:50
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册