资讯专栏INFORMATION COLUMN

小程序如何防止资源被盗刷?

jerryloveemily / 609人阅读

摘要:然而小程序放上去不到两周,就在昨天就在昨天就在昨天,突然收到腾讯云的邮件提示,欠费,,什么情况啊,我懵逼了,想了半天,先充了几块钱进去,毕竟不想自己努力构思的产品,就诞生这么几天就夭折了。

做过前端,或对小程序有些了解的同学都知道,小程序是没有域名访问概念的,访问的路径都是以:“/pages/index”、“/pages/my”这种方式进行页面跳转的。域的概念从何而来?

事情是这样的,前段时间突然冒出个想法,大家上下班,有些人离公司比较远,回家路上/地铁上,可能都会比较无聊,看看新闻、听听音乐啥的。

但是对于IT行业的程序员们来说,入了IT领域就意味着,永远有学不完的东西,经常就有看到一些人在地铁拿着一本书在看,于是我灵机一动,想着做了个小程序,收集一些电子书,方便大家随时随地的阅读,既不耽误学习,回家的路上也不无聊,而且小程序集成在微信里,不会给大家带来负担。

说干就干,经过几个周末的开发和测试,慢慢的小程序成型了,也发布上线了,是基于wepy框架开发的,坑点之前的文章已经说过了,就不再提了。主要讲讲后面发生的一些事。

作为技术交流,平时也加了一些群,都有一些不错的书,工作几年自己也弄了些存货,这次是全部家当都拿出来了、还找了几个测试java的后端大佬,都收集了些他们的珍藏品,因为没有自己的服务器,刚开始是把内容存放在阿里云上的,但没两天告诉我欠费了……,

想哭,就这么工资,怎么经的起折腾啊,后来了解了一下腾讯云,每月有些免费的流量,果然放弃了阿里云,把东西转移到了腾讯云。嗯,就这样很开心的把小程序上线了,每天有事没有看看书,觉得还是蛮方便,身边同事也都觉得不错,还给提了些小建议。

然而小程序放上去不到两周,就在昨天、就在昨天、就在昨天,突然收到腾讯云的邮件提示,cos欠费,CAO,什么情况啊,我懵逼了……,想了半天,先充了几块钱进去……,毕竟不想自己努力构思的产品,就诞生这么几天就夭折了。

今天在快下班了突然想起这个事,想着赶紧看一下,发现cos的数据把我吓哭了、真的、如果不到两周能有这么高的访问量,我会很开心的,然而小程序的后台数据是不一样的。

小程序访问次数:1000次,不到;

cos请求数:2.85w,呵呵~,

坑爹的啊,请求次数2.85w,小程序的访问量不到1000

不用说,这是被人欺负了……,内心1W个草泥马,在心里奔腾,怎么办呢?第一时间是想到了防盗链,不允许指定域名以外的站点访问你的链接。

但问题又来了,前面说过,小程序没有域名啊~

于是在项目中,把Network面板的信息看了又看,查看Headers信息,看到Referer这里有一个没见过的域名把整个页面请求头(后面发现的,哈哈~),百度搜索无果,最后还是谷歌告诉我,小程序也是有个域名的,请看下图:


原谅我穷,赶紧在cos上配置了这个白名单,同时也赶紧测试了一下,去掉后,是否还能访问,以图为示例:


当然这个方法是不完全可靠的,比如其他小程序也是这个域名啊,还是能调用你的资源,有点纳闷~,求大佬们指点可靠的方法。感谢!!

以上就是今天的随笔小记,希望能帮到其他遇到同样坑爹事情的同学,最后分享一下做的小程序:码农书籍,爱学习、阅读电子书的同学可以收藏一下!

更多文章:

webpack4配置详解之常用插件分享

webpack4配置详解之慢嚼细咽

如何给localStorage设置一个有效期

作者:苏南 - 首席填坑官
链接:http://susouth.com/
交流:912594095、公众号:honeyBadger8

本文原创,著作权归作者所有。商业转载请联系@IT·平头哥联盟获得授权,非商业转载请注明原链接及出处。

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/99481.html

相关文章

  • 程序如何防止资源被盗

    摘要:然而小程序放上去不到两周,就在昨天就在昨天就在昨天,突然收到腾讯云的邮件提示,欠费,,什么情况啊,我懵逼了,想了半天,先充了几块钱进去,毕竟不想自己努力构思的产品,就诞生这么几天就夭折了。 showImg(https://segmentfault.com/img/bVbkcfC?w=1080&h=298); 做过前端,或对小程序有些了解的同学都知道,小程序是没有域名访问概念的,访问的路...

    greatwhole 评论0 收藏0
  • 8种网站防止盗链的方法

    摘要:既然被盗链的后果这么可怕,那有哪些方法可以防止盗链呢下面从简到繁总结一下常见的以及自己实践过的一些方法,并简单分析一下。用这个方法配合方法,可以达到较好的防盗链的效果。作为普通的网民来说,一般不需要知道也不用关心什么是盗链,不过如果你是网站的开发者或维护者,就不得不重视盗链的问题了。如果你刚刚开发完一个没有防盗链的带有文件下载功能的网站,挂上internet,然后上传几个时下非常热门的软件或...

    appetizerio 评论0 收藏0
  • 电商安全无事,如何有效地抵御 CSRF 攻击?

    摘要:与攻击相比,攻击往往很少见,因此对其进行防范的资源也相当稀少。不过,这种受信任的攻击模式更加难以防范,所以被认为比更具危险性。通过实时升级系统快速同步最新漏洞,避免零日攻击。 现在,我们绝大多数人都会在网上购物买东西。但是很多人都不清楚的是,很多电商网站会存在安全漏洞。比如乌云就通报过,国内很多家公司的网站都存在 CSRF 漏洞。如果某个网站存在这种安全漏洞的话,那么我们在购物的过程中...

    赵连江 评论0 收藏0
  • php伪造Referer请求反盗链资源

    摘要:反盗链分类我们了解了盗链对源站的危害后,自然要通过一些手段来阻止这种行为维护自己的利益。参考文章百科盗链防盗链伪造防盗链 有些产品为了防止自己的产品被盗链访问,会采用反盗链措施,如封闭型生态的音乐网站和视频网站,他们已经为了版权付费,自然不希望你免费使用他们的资源。但因为很多人专门研究盗链,因此我们也需要了解下盗链、反盗链和逃避反盗链的原理。 盗链 引用百度百科对盗链的定义: 盗链是指...

    chenatu 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<