PHP网站注册的时候发送短信接口被人模拟POST请求刷短信,如何解决?
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
6
1101
收藏
我知道的有两种:
1、在页面加上csrf_token,php的CI框架都代这种的。
2、访问频率限制,(同ip限制,同号码限制)等等。
改成必须要有 token 才能发送短信。例如加一个图片验证码。
加个限制,一分钟只能发一次,一天最多50次,这也是大多数网站的做法。
csrf_token也不是不能破的,我可以用软件先访问一下生成token的页面获取嘛。一个请求一个token,有效值得一次,设置过期时间。目前我也是这么做的。token验证失败,缺失,都是属于非法提交。要是更加保险,参考下上面哥们说的。都是很常用的手段,静听其他哥们意见。