我正在使用ASP.NET MVC与沉重的jQuery客户端交互。我有一个jQuery聊天窗口,以7秒的间隔定期轮询服务器以获取更新。所有这些都很好,我有两种操作方法来处理聊天的两个主要功能;一种方法用于将消息发布到聊天中,另一种用于检索更新。如何防止通过我自己的客户端代码访问URL?
我的问题是,我有一些用户在编写与这些URL进行交互的机器人来发布消息并获取更新。如果有人希望阻止用户通过我自己的客户端代码与这些网址进行交互,那么如何实现这一目标呢?
我想在页面加载时传递一个GUID,然后在每个请求中传回这个GUID,但我不确定这是做这件事的最好方法。另外,什么会阻止他们向其bot程序中写入额外的步骤,以便对加载页面的URL执行正常的GET请求,然后解析GUID的响应?
任何想法都非常感谢。谢谢!
那么,不可能编写代码以其他人无法模拟的方式执行代码......如果代码是Javascript,那么这个任务很容易完成。
你CAN做什么,就是想让它变得更加困难。使用某种身份验证,使用一个很好的混淆器来混淆代码等等。但是,如果你不把所有的验证码都放在你的网站上,你永远不会100%确定。
您还可以使用过滤器,验证等来停止骚扰用户服务器端。
我会尝试攻击使用机器人的原因和好处。让人们停止使用在你的代码之上工作的机器人和脚本的最简单的方法就是仅仅提供他们想要的功能,而不会打扰你。
这是一个相当困难的问题,因为您的客户端代码本质上与客户端的机器人没有区别。你可以做的一件事是实施某种CAPTCHA检查登录,并可能间歇性地发布消息,但这可能会刺激你的真实用户。所以我不确定这里是否有非常优雅和流畅的解决方案。
聊天客户端自互联网曙光以来一直存在,我知道一个非常受欢迎的聊天客户端:IRC。他们有完全相同的问题:你如何识别一个机器人?现在看来,这仍然是一个问题,我认为可以肯定地说你做不到。
也许有一些启发式可以用来检测机器人,但它是一个猫和老鼠的游戏。 CAPTCHA也只是一款猫捉老鼠游戏,尽管它只是一个最前沿的游戏。
我假设你的代码与你的API会谈是公开的。所以你不能在客户端“隐藏”一些计算。它是否正确? – Halcyon 2011-06-02 21:19:07
这是正确的。 – Chev 2011-06-02 21:20:14