防止通过 $_SESSION 提交大量表单

Question

如果我被一个用 C# 创建的 .NET 程序轰炸了——因为用户在我的表单上大量提交 $_POST 字段而被轰炸...这就是我的联系表单。

我不确定 $_POST 的质量究竟是如何出现在 .NET 程序中的，或者它甚至可能是一个 c++ 程序，我不知道。但是我有一个想法来解决这个问题。

我的第一个想法需要$_SESSION 但是...用户创建的那些$_POST 轰炸程序会处理/接受$_SESSION 吗？我真的不想知道，但也许对 C# 中的 WebClient 类有经验的人会知道它是否处理了$_SESSION'S 或用户正在使用的任何东西。我正在考虑使用$_SESSION['submitted'] = $count; 和$count++; 的另一部分

if($_SESSION['submitted'] > 5) {
    //display captcha or block from site
} else {
    $count++;
}

如果用户的程序没有处理 $_SESSION 是否有可能我可以禁用他们的网站？所以他们不能攻击我的联系表？

Answer 1

绕过会话锁定对于恶意用户来说是微不足道的。只需在每次 POST 后删除会话 cookie，他们就会获得一个全新的干净会话，并重置限制。

阻止此类用户的唯一安全方法是开始限制他们的 IP 地址。将其限制为每分钟一定数量的连接尝试，他们将无法提交超过每分钟的请求数。现在，如果他们可以在主机之间跳转，那么您将遇到更大的问题，并且可能应该考虑将您的表单移动到其他地方，这样他们得到的只是 404（直到他们注意到它被移动了）。

不利的一面是，如果他们使用通用代理或像 AOL 这样代理一切的东西，你也会阻止其他合法用户。

Answer 2

您可以设置一些安全屏障，例如登录表单或其他形式的身份验证（例如浏览器检查等）

除此之外，我唯一能想到的就是阻止传入的 IP，这可能又不是一个好主意

Answer 3

如果我错了，有人可以纠正我，但是 SESSION 存储一个带有会话 id（很长的哈希字符串）的 cookie（或其他方式），SESSION 变量存储在服务器上。因此，即使他们处理了 SESSION，他们也无法控制服务器存储的 SESSION 变量。

如果我是你，我会将 CAPTCHA 设置为始终开启...

Answer 4

仅仅实施验证码怎么样？