[有趣的问题] 关于前端请求，后端服务如何做到只响应当前站点的请求。类似于如何防爬虫...。

有个小想法，如果是可以登陆的，登录后建立一个 websocket 连接，请求需要 websocket 连接且 token 匹配才可以放行。🤣

月经贴了。答：不能

必须登录才让访问，登录时使用 IP 、浏览器版本、agent 等各种数据一起生成 token ，服务器判断只有有效的 token 才允许访问，其他人拿到 token 也访问不了。

@jmllx1963 websocket node 也能模拟

@jorneyr
1. 必须登陆才能访问，我登陆完，就拷贝 cookie ，这些参数在 node 发起写进去，其实也没啥用啊，
2. 前端生成的 token ，后端如何校验。

上述的两个方式，我只要知道一个请求，我就能通过 node 在重新发一遍吧...。

用 webassembly 加密请求

HTTP Headers 太容易伪造了，加入 SSL 检查，不是常见的就要求验证，验证 Cookie 跟 SSL 信息绑定，这样在浏览器验证过再复制 Headers 去给爬虫工具用也不能行

设备风控只是增加难度，防不了那些用无头浏览器采集的。行为风控比较重要，看看某宝，动不动就让你验证，验证过了，多访问几个页面又让你验证

HTTP 是 stateless

@eason1874
这句话能说扽具体点吗，不太理解实现的过程 ：验证 Cookie 跟 SSL 信息绑定，这样在浏览器验证过再复制 Headers 去给爬虫工具用也不能行。
看看某宝，动不动就让你验证，验证过了，多访问几个页面又让你验证：
几个页面多次验证就是 IP 和请求次数。但我了解的验证，后端生成不包含前端逻辑的是可以做到不能绕过的，比如后端直接生成验证码图片，但是比如什么前端验证码，滑块啊，这些都是前端做的，本质上都是能从接口拿到验证码，或者直接绕过的吧。

@ZE3kr 了解过一点，没有具体应用的地方，不知道我说的对不对，这玩意就是通过 C C++来写一些 js 函数，但是本质上加密的过程，node 端也能模拟吧。

@ericls so ？

答案是，不能。再怎么做也只是增加成本罢了，完全防住很难，收益太低
不说普通的发送 http 请求了，如果用 Puppeteer 和 playwright 这种模拟用户操作浏览器的爬虫能怎么防呢

可以试试对于频繁请求的用户或 IP 加个人机识别验证，比如友验（ fastyotest.com ）

@ericls 请求和请求之间是没有关系的

给用户一个远程桌面（

以前讨论过，ssl 指纹技术可防。
node 和浏览器的 ssl 指纹是完全不一样的。

@3dwelcome #16 那我用 chrome 插件爬呢

剧毒方法只能是以误杀普通人为代价，进行严格的风控
不过如果你数据很少的话这个就是纯粹恶心普通用户，因为高手终究是能把你的数据全拿走的

@loveyou1 #9 HTTP 是应用层，SSL/TLS 是传输层，HTTP 请求工具通常不关心 SSL 的具体过程

所以当你从 Chrome Copy as cURL 去 Shell 发起请求的时候，你只是复制了一个完整的 HTTP 请求，并不包括 SSL 的部分，而不同软件的 SSL 支持是不一样的，于是乎你可以通过一些 SSL 信息判断出设备发生了变化，比如 $ssl_ciphers 和 $ssl_curves

每次由服务器端编译并签名生成限时可用的二进制指令流发送到客户端执行，然后由它来负责解析用户的请求，每个请求完成都重新生成新的密钥对和更换请求解析逻辑，这样用户如果想要逆向就必须在会话有效期内完成二进制逆向工程
你可以连带鼠标和键盘消息事件相应和图像绘制都由你下发的二进制指令来完成