这是我第一次构建一个网站,其中包含复杂的登录\注册对话框,并具有后端安全专长,例如电子邮件验证与激活码和禁止注册太多不良登录尝试。最佳实践 - 阻止通过滥用邮件确认
我认为我已经完成了构建安全体系结构,但随后出现了:我如何阻止恶意用户滥用我的新用户对话框。
我能想出的唯一解决方案是在成功注册时使用最后用于注册的电子邮件地址提交的cookie,后端在新的注册尝试中识别此cookie并提示用户有关新发现。可能在响应之前甚至需要暂停。
但是,这只会让12岁的孩子无法忍受,它可能不会发生,但是具有基本技能和足够理性的人可以通过简单的脚本来闯入成千上万封电子邮件,我不能阻止用户在我的网站上有很多帐户,他有电子邮件帐户(amirite?)
有什么建议吗?
AFAIK,没有在线服务停止发生。 –
+1伟大的问题。希望更多的人会担心这种事情... – Mithon
你的用户通过html表单或ajax提交数据吗? – andrew