我能做到的最好的反爬虫策略

已于 2023-03-09 11:31:04 修改
阅读量1k 收藏 2
点赞数
分类专栏: 笔记 文章标签: 爬虫 rust 开发语言 Powered by 金山文档
于 2023-03-02 18:07:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_40761705/article/details/129303971
版权

只要你的网站能通过浏览器合法访问,就不可能百分百的阻止爬虫,只能尽可能的去增加对方的爬虫代价。

由于工作原因,像某里系,某度,某字母站,某乎,某电影网站...等等的页面数据我都爬过。既然他们都防止不了,何况我们呢?

  1. 一般的反爬策略

前后端制定加密签名策略

前端每次发送请求的时候都携带一个动态签名,后端根据相同的规则生成签名,两下一对比,如果正确,放行,如果不正确,抛回非法请求

举例一种策略

  1. 前端每次都生成一个随机字符串比如 125432

  1. 前后端约定一个密钥 比如 secert123987

  1. 再加上一些常用的请求头 比如 User-Agent

  1. 当前请求的api地址 比如:"/api/user/get"

  1. 那么就是这样 :

{随机字符串}+{User-Agent}+{api地址}+{密钥}
125432Mozilla/5.0 (Windows NT 10.0; Win64)/api/user/getsecert123987

  1. 然后在对上面的一串字符串进行签名校验,比如md5。也可以用上面的密钥进行sha256,mac加密

  1. 其实每个签名加密都是有规则的,有经验的程序员,一眼都能看出来,不过最多的还是md5加密,因为最快

这个方式对老手没啥大用,因为再怎么样,你的签名策略也是摆在浏览器中的,仔细找肯定能找到

除非你自己研究属于自己的签名策略,不过按道理来说应该对大神也没用。

隐写术

添加0宽字符进行混淆

https://juejin.cn/post/6867319399947681806

这篇写隐写术的蛮好的

混淆js

不用多说,现在前端工程应该都有webpack和vite

不过混淆js的最大目的还是压缩前端代码,最防爬虫只是有很小的帮助。

robots.txt

君子协定,懂的都懂

验证码

每次请求都找后端要一个验证码,将验证码再进行签名策略,,不过对于爬虫人员来说也只是多了一步而已。因为请求验证码的api爬虫人员也是能看到的。

如果是图形化的验证码的话,就像StackOverflow等的,每次搜几个问题都会跳出来几张图片让你回答问题,判断你是不是机器人。,那该多烦人,我们的网站一般不会那样做的

应该没了吧?

  1. 用wasm进行签名生成

WebAssembly 对于传统的web开发而言,这个技术应该95%都用不到吧。

WebAssembly,简单来说其实就是将c语言,rust语言等高级语言编译成wasm文件,让浏览器直接就能用,,

那么。。。

我们可以用rust语言写加密策略,让js代码调用wasm生成签名,不但更加安全,而且签名策略用rust写,运行相比js会更快

也就是相当于将 加密策略 加密了一下。。好绕,我们是看不懂wasm文件中的内容的,也就不清楚加密策略了。

当然了,应该也是有工具将wasm再次反编译的,,我没去找哦,,,,哎~~~~~

rust语言编译成wasm

当然了,用c也可以。。我c早忘了。。

相关技术,

  1. rust

  1. wasm-pack

https://rustwasm.github.io/wasm-pack/installer/

将rust编译城wasm的工具

  1. vite-plugin-wasm-pack

引入wasm的工具

自己捣鼓吧

  1. 字体加密

上面的所有所有都躲不过一个东西,就是python的Selenium,或者java的jcef之类的自动化爬虫,就是人家真的就是打开了一个网页,这怎么防啊。

那就将网站上的文字加密吧,现在好多网站都有这种策略

效果

上下两排的文字是不一样的哦,,

  1. 首先你需要下载一些需要加密的字体,不用下全,因为我们不可能将中国很多很多的汉字全加密,那样的话光下载字体文件就要占网站很大的流量,一般就英文+数字就可以了,格式可以为 fft woff woff2

2、用FontCreator这个工具更改掉原始的unicode编码,

比如 16进制的30 代表0 我们可以改成16进制的59910

  1. 然后将你需要加密的文字的编码改成自定义的编码就好了

比如0的流程就是

\u0030 ->0 -> '&#59910'

我是写了一个转换的指令directive,

第一次写,不知道什么才是最好的,就不展示directive代码了,

但是肯定不能将后台的所有api的数据全部转换一遍,,那样应该好浪费性能,也没必要,只需要将重要的文字内容加密一下就好了

  1. 添加字体属性

@font-face {
  font-family: 'XXXXX';
  font-size: 16px;
  src: url('../fonts/XXXX.woff2');
}

然后再转换后的内容标签上加上 style css属性font-family:XXXX就好了啦啦啦啦。

又要泼冷水了

上面的还是不能防止爬虫,因为我们可以将网站上的字体文件下载下来,一分析,就知道哪个是哪个了,,,,~~~~,,

而且如果实我,我还会用谷歌插件去爬虫,在api显示到页面之前就给你拦截掉,

  1. 限流、ip黑名单做起来。~~

布蕾烧仙草
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
使用JCEF(chromium内核)开发的抓取数据浏览器,可以用来制作浏览器,也可以用来制作爬虫
06-28
使用JCEF(chromium内核)开发的抓取数据浏览器,可以用来制作浏览器,也可以用来制作爬虫
wasm爬分析处理
weixin_42603784的博客
03-08 1101
目标地址 http://match.yuanrenxue.com/match/15 1、打开目标地址先抓个包看一下,直接XHR 数据是由这个接口返回的,对一下数据是正确的返回也没有加密,观察一下数据返回的地址,一个get请求且url后面由一个m和page组成,那么就是找m的生成算法了 2、进入目标地址Initiator,查看调用栈 双击进入直接就是m的值这块,m是window.m() window.m()是下面这个函数 这个函数的返回值是 window.q(t1, t2).toString() +
2024年物联网嵌入式最新Vite插件大全_vite-plugin-mpa,程序员如何解决中年危机
2401_85012481的博客
05-14 1030
【代码】2024年物联网嵌入式最新Vite插件大全_vite-plugin-mpa,程序员如何解决中年危机。
爬虫逆向实战(8)-猿人学第十五题(wasm)
qq_44906798的博客
08-15 2002
在扣js代码时,可以发现js代码很少,只有几行。是因为这里导入了一个wasm文件。所以此处就需要先将这个wasm文件下载到本体,然后使用python中的。点进去后可以发现,此处是发送ajax请求的位置,参数。通过抓包可以发现数据接口是api/match/15。模块先将wasm文件加载,然后再使用。查看启动器发现调用堆栈中有一个。
python爬虫之wasm逆向 wasm逆向 超详细
m0_46631208的博客
11-18 5412
前言:wasm简介,在js逆向中,遇到wasm加密,wasm是通过字节码以二进制格式传输,由于模块的结构,可以通过浏览器并行编译,以便进一步加快速度。 一.问题: 在请求链接上,发现有签名,咋一看像个时间戳进行处理后的数据。 二.解决: 1.全局搜索sign(定位技巧),轻松找到sign,向上看使用$wasm进行加密。 2.在谷歌中可以看见wasm源码,在火狐中看到就是base64编码,解码后看到的是一串乱码。 谷歌查看: 火狐查看: 3.先把wasm文件...
签名验证爬虫的原理和绕过方法
weixin_48340904的博客
08-22 1689
大家好,我是志斌~ 今天来给大家介绍一下信息校验型爬虫中的另外一种爬虫—签名验证爬虫。签名验证是防止服务器被恶意链接和篡改数据的有效方式之一,也是目前后端API最常用的防护方式之一。 一、定义 签名是一个根据数据源进行计算或者加密的过程,用户经过签名后会一个具有一致性和唯一性的字符串,它就是你访问服务器的身份象征。由它的一致性和唯一性这两种特性,从而可以有效的避免服务器端,将伪造的数据或被篡改的数据当初正常数据处理。 用于签名验证的信息通常被放在请求正文中发送到服务器端。如下图所示: 二、原理 签名
保险早会激励专题我能做到
12-29
"保险早会激励专题我能做到"是一个专为保险代理人设计的主题,旨在通过一系列的活动和讨论,帮助他们克服挑战,增强自信心,提高销售业绩。这个专题早会的核心理念是自我肯定与自我实现,它强调每个人都有潜力超越...
中国移动我能品牌ppt模板.rar
09-10
这个模板可能包含了一系列精心设计的幻灯片,旨在帮助用户有效地传达中国移动的品牌价值、业务优势以及与"我能"口号相关的市场策略。 "我能"是中国移动的一个著名品牌标语,它体现了中国移动对自身服务能力和技术...
amazon-clone:我正在使用React构建具有其所有功能的Amazon Clone!希望我能做到最后!
03-18
Create React App入门 该项目是通过引导的。 可用脚本 在项目目录中,可以运行: npm start 在开发模式下运行应用程序。打开在浏览器中查看它。 如果您进行编辑,则页面将重新加载。您还将在控制台中看到任何棉绒...
从测试策略到测试架构
03-23
直接根据这两个模型来工作是低效的,甚至可 今年是我做软件测试的第7个年头了,当年我从软件开发转做软件测试的时候,没有想过我能在这个领域做这么久。 在这7年里面,我在软件测试领域摸爬滚打,从自动测试起步,...
我能专心》教案.pdf
10-14
【《我能专心》教案】 本教案是一份针对提高学生注意力训练的教学方案,旨在通过一系列活动帮助学生理解并提升注意力集中能力。教学目标分为两部分:首先,通过游戏和讨论让学生体验注意力集中对于学习的重要性;...
wasm-pack-plugin:用于Rust的webpack插件
05-01
@ wasm-tool / wasm-pack-plugin 用于Rust的Webpack插件 安装 yarn add --dev @wasm-tool/wasm-pack-plugin wasm-pack 我们希望wasm-pack位于您的$PATH 。 查看。 最低要求的wasm-pack版本为0.8.0 用法 将加载程序添加到您的webpack.config.js : const path = require ( "path" ) ; const WasmPackPlugin = require ( "@wasm-tool/wasm-pack-plugin" ) ; module . exports = { // ... plugins : [ new WasmPackPlugin ( { crateDirectory : path . resol
python 爬虫遇到字体加密解决方案(woff2) ddddocr + 百度ocr 文字识别
huagangwang的专栏
09-14 2727
爬虫遇到字体加密,字体解密。ddddocr + 百度ocr 文字识别
Scrape Center爬虫平台之spa14案例 wasm
weixin_45080737的博客
06-14 328
python执行wasm
常见爬及应对
最新发布
dafan0的博客
07-02 788
AAEncode是一种JavaScript代码混淆算法,利用它,可以将代码转换成表示的JavaScript代码。去掉代码最后的 (‘‘),这是函数的自调用,去除后就是函数的声明。也可以在去掉 (’’)后,加上 .toString(),进一步将方法转化成字符串。JJEncode 的还原方法与 AAEncode 一致。
Python 爬虫进阶必备 | 当 Js 逆向遇上 wasm(一)
咸鱼学Python的博客
11-02 2802
前言 关注公众号【咸鱼学Python】获取更多关于 Python 爬虫、Js逆向、安卓逆向的文章 Wasm 是一种底层汇编语言,具有文本格式支持,其目标是可移植、安全和高效。 Wasm 的模块可以被导入的到一个网络 app(或Node.js)中,并且暴露出供 JavaScript 使用的 Wasm 函数。 Wasm 与其他虚拟机的主要区别在于,它没有针对任何特定的编程语言进行优化,而只是抽象底层硬件,字节码直接对应于现代 cpu 的指令和内存模型。 简单的来说就是它是比较底层的汇编语言,它比较难懂,它比较安
爬虫】wasm遇到的bug
zbossz的学习小分队
07-03 820
wasm: magic header not detected错误
JS逆向:Wasm文件导出函数的调用|猿人学爬虫对抗赛第十五题
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
11-23 3724
实战地址http://match.yuanrenxue.com/match/15 抓包分析地址栏输入 地址,按下F12并回车,发现数据在这里:cookie无加密,有个params参数m,...
JS逆向之猿人学爬虫第20题-wasm
自成背后的博客
07-27 1960
JS逆向之猿人学爬虫第20题-wasm
我能对spyder升级吗
05-05
是的,你可以通过以下步骤升级Spyder: 1. 打开Spyder IDE 2. 点击菜单栏中的 "帮助" 3. 选择 "更新" 4. 在 "更新" 窗口中,点击 "检查更新" 5. 如果有可用的更新,点击 "安装更新" 如果以上步骤无法更新Spyder,你也可以考虑重新安装最新版本的Spyder。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

布蕾烧仙草

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值