无非猫捉老鼠，后台搞个无头浏览器

油猴脚本，请求完全是浏览器发出和渲染，你怎么破，哈哈哈

hmmm, 不能加验证码吗，请求前 js 弹出验证码框，验证通过才给请求？

定时更新前端代码和后端接口及加密请求方式，业务流程。只要你改得足够快，模拟的人就跟不上。 很简单，你前后端稍微改一下业务流程，逆向的人，要花 10 倍的时间去梳理。只要成本与收益不匹配。就没人去做。

不可能的，只能用各种人机验证，验证码来预防

用户直接手点浏览器你感觉能区分吗？

@leokun #8 请不要重新发明 cloudflare waf ，免费的

单请求没办法,请求前的页面渲染状态,埋点,加载状态,鼠标轨迹,行为逻辑分析,一系列东西去判断,但是防不住真想和你做对抗的人....这东西都是一整个团队用上各种手段去尝试,对抗,没啥一劳永逸的办法

本质上，这类问题没有绝对的防御手段。对抗方式往往是一个“试错博弈”的过程，如果用户的试错成本足够低，那么无论你做多少防护，他总能找到突破口。关键在于如何提高用户的试错成本，而不是通过技术手段杜绝爬虫

这个问题等价于如何防止爬虫 答案是防不了 人机验证 通过接码平台解决 五秒挑战，参考 Cloudflare 5 秒盾，浏览器静默执行一段 js 脚本，识别当前是否是正常环境 通过无头浏览器解决 浏览器指纹验证 https://github.com/fingerprintjs/fingerprintjs 但它是开源的，攻击者依然可以想办法绕过 tls 指纹识别，cloudflare 等云厂商通过对所有开源请求库做特征库，能识别一个请求是否通过浏览器正常发送，甚至能识别无头浏览器 但可惜可以无头浏览器+伪造特征 再来就是老一套的混淆接口加解密 没啥用，5 分钟以内就能破