安全保卫战——家乐福618安全与性能之战(12)_：安全保卫战——家乐福618安全与性能

那么不是在双方事先的IP范围内一切访问全部无效，但是这种防护的前提一定是对接双方的IP或者是外部的IP必须为“永久固定IP”。

还有一种，就是现在的网站很多使用的都是企业级微服务，那么微服务做多了，API过去API过来，很多人忘了一点。一些内部模块间的调用要走内网，再説白了拿一个例子来举例说明：同一个应用的Tomcat和MongoDb间是不是一定走的是内网调用？如果把Tomcat和MongoDb间的调用都跑到外网绕一圈。。。你不要笑我还真看过这样的设计。。。源于“图项目快，图方便”这个恶习。

违反正常点击顺序与不经页面访问接口当然，这种BOT还可以识别，因为它是违反正常的界面点击顺序的。如果是一个人，它的点击一定是带有正常页面/界面访问路径进入的，而有一些点击通过在API层拦截分析后，我们马上可以发觉他们是直奔主题直接不经过一系列的页面直接访问你后台的API接口这么进入的。

对于这种攻击，仅仅有前台的Token是不够用的，因为Token可以被破解的、Token可以被模拟的。此时要在后台设以入库（DB）前的再校验往往可以拦掉50%这样的攻击，或者在一开始设计时前端应用就应该辅以“混淆代码”装置。如果你的网站是以赢利为目的，千万不要舍不得那每年那点该花的用于加固APP的钱。商业版的混淆器在一开始就纳入使用是很有必要的，好比我举个例子来説：你是愿意穿着凯芙拉防弹衣被54式手枪打一枪呢还是拿三夹板挡在胸口去被打一枪？