@
kisshere 任何Client side的保护措置都是有破解可能的。
你可以在服务器上绑定Cookie Session Key的产生策略:
1. 仅当客户端有Cookie Session Key的时候允许用户登录。
2. Cookie Session Key的产生机制与IP地址绑定。控制这个IP地址每分钟能够产生多少Cookie。当超过这个限制的时候禁止Cookie Session Key的产生,同时不使用任何Cookie Session Key。
3. 对每个产生的Cookie进行两字段效验,存的时候类似于 SESSION_KEY|COOKIE_HASH,通过COOKIE_HASH来验证SESSION_KEY是否合法,加密算法可以自己设计个,比如用一个站点密钥什么的,和密码加密类似。
4. 控制每个Cookie Session Key仅能绑定一个用户。
这样发帖机必须得到Cookie才能发帖,并且由于上面的策略,他的发帖行为只能使用受到站点限制的Cookie Session Key来进行。当这个条件满足的时候:
1. 设计用户发帖策略,限制用户每分钟的发帖数。
2. 设置帖子内容提取策略,从帖子中提取一段或多段作为“特征码”。同样特征码+同一个用户发布的帖子不允许发布多次。
3. 其实到这里你怎么玩都可以了,用户已经不可能通过刷新Cookie的方法随便变更保护Session Key了。