# 已被扫描的回调接口
这类的接口,如支付回调等。由于没法对回调的接口做并发,鉴权控制。没法再接受参数前对请求的合法性进行验证。微信支付回调需要再接受完参数之后通过签名验证是否是合法请求。考虑到微信支付回调存在并发的可能。没法做请求限制。也没有办法知道微信支付回调的所有服务器ip做白名单。唯一能做的就是避免接口被扫描出来。容易记忆的接口,在没有请求限制的情况下,就是CC攻击的明确靶标。只要足够TCP连接进入,就可以直接阻塞掉正常的回调请求
# 已被扫描的回调接口
这类的接口,如支付回调等。由于没法对回调的接口做并发,鉴权控制。没法再接受参数前对请求的合法性进行验证。微信支付回调需要再接受完参数之后通过签名验证是否是合法请求。考虑到微信支付回调存在并发的可能。没法做请求限制。也没有办法知道微信支付回调的所有服务器ip做白名单。唯一能做的就是避免接口被扫描出来。容易记忆的接口,在没有请求限制的情况下,就是CC攻击的明确靶标。只要足够TCP连接进入,就可以直接阻塞掉正常的回调请求