求救,怎么解决网站被恶意盗刷

sxliusir 2026-07-12 13:14 1

我做了个简单的生成图片网站,有游客免费生成的功能,每个 ip 只能免费生成几次,我发现有些大批量请求是同一个人生成的,但是 ip 却都不同

最新回复 (18)
  • shuiduoduo 07-12 13:43
    1
    加盾
  • BlueSpace4512 07-12 13:48
    2
    加 cdn 拦 bot 、再加浏览器指纹关联
  • googlefans 07-12 14:08
    3
    @BlueSpace4512 拦 bot 不把 google bing 等正规的爬虫也拦住了吗?
  • orion1 07-12 14:12
    4
    你咋知道是同一个人生成的,把原理告诉 waf
  • sxliusir 楼主 07-12 14:36
    5
    判断同一人是他的 prompt 很相似,时间也很相近,大量的请求
  • sxliusir 楼主 07-12 14:37
    6
    加什么盾呀,详细说说呢
  • humbass 07-12 15:33
    7
    绑定手机号或者微信号 每个号限制就行了。
  • potatowish 07-12 15:51
    8
    生成结果打上大大的水印,登录可保存去除水印版本
  • davidyin 07-12 15:55
    9
    加 recaptcha
  • cnrting 07-12 16:29
    10
    改成必须登录
  • foryou2023 07-12 16:42
    11
    国内搞成手机号登录,国外搞成谷歌邮箱登录。
  • idblife 07-12 16:47
    12
    让 fable5 解决
  • nc 07-12 17:03
    13
    加上 fingerprintjs 检测,纯客户端的,只能防普通用户薅羊毛。更彻底的是直接把机房 IP 都屏蔽掉,可以用这个库: https://github.com/NetworkCats/Merged-IP-Data
  • EvanClausen 07-12 17:08
    14
    判断用户浏览器指纹+CloudFlare Turnstile 。只限制 IP 的话随便一个 IP 池代理就绕过了。
  • vvong 07-12 17:14
    15
    接 cloudflare 走 cf 的代理
    打开设置防机器人攻击 设置 Rate Limiting
    开启高强度防护
  • laminux29 07-12 23:52
    16
    人家微软、OpenAI 、Google 、Anthropic 对这种事情都没办法,你觉得你能怎么办。
  • billccn 07-13 02:34
    17
    在开 WAF 的基础上可以试试:
    起一个 embedding 数据库,把 prompt 都跟里面搜一下,把最相似的拿出来用个简单本地模型分析一下,凡是同样请求的变体的把整个 IP 段的免费请求数将为 0
  • Rache1 07-13 09:21
    18
    @googlefans 这些正规 bot 都有 IP 列表的,如果想要放行,把他们的 IP 段加进去就好了。

    比如:

    Google:

    https://developers.google.com/crawling/docs/crawlers-fetchers/verify-google-requests?hl=zh-cn#automatic

    Bing:

    https://www.bing.com/webmasters/help/how-to-verify-bingbot-3905dc26
* 帖子来源V2EX
返回