我有一家外贸网店,但是不想被国内外某些同行分销看到,所以用商店自带插件和代码进行了阻拦和跳转。如果检测到浏览器语言是目标及其变体会跳转到别的地方(图1),如果是黑名单地区则会显示关店。店铺自带的忘记哪个是优先级了。此外,还在外面套了一层cloudflare的同样规则,就怕IP库不够全面。我记得cf应该是先检测语言后检测地区。这是问题的前提和背景。
现在问题是,不知道为什么在某些设备的同样版本Chrome上不起效了。我试过清除cookies重新测试,因为之前试过这样的方法有效。但是语言地区其一或者其二在黑名单,现在依然能访问。而在另一些设备上,倒是清除了cookies,语言和地区都不在黑名单,依然还是不能访问。我看过clash里的连接日志,除非节点落地是别的地方,不然应该是没错的。所以导致如果以前有人成功进入访问状态,而又未清理cookies的话(且大多同行应该是不会去捣鼓这玩意的),他依然能访问。反之亦然,不清cookies就继续不能访问,但这个刚好符合我的需求,所以不在讨论之中。
非常的奇怪,因为我这些办法也是Google和问gpt来的。所以只能另外想办法,可不可以插入这么一段代码,使得cookies的有效期非常短或者离开页面后自动清除呢?如果能让之前所有语言地区黑名单内的人重置访问状态就更加好了。这样大概会影响现在正常客户的使用,但也只能是一个无解之解了。附图2图3,这是我问了gpt的一些答案,但是好像不起作用,是某些部分还需要我手动填入具体参数吗?
关注
你的预算多少?
更何况有指纹浏览器+原生IP
攻防的方案都有
你对这个防御性质的成本预算多少?
如果已有办法失效了,你能对此承受多少风险?
你做的这些都太简陋了,最好的方案是套一层人机验证码检查,这样,就能以验证码作为切面,过滤一切你想过滤的
js写的为啥不debug试试呢
没有绝对的安全,只是回报比的问题
现在网店都这样猛了吗
也不是安全的问题,单纯不想被同行看,因为我有些产品是自研的,这些人过来看完一个劲地抄然后做烂市场。如果确实能灵敏实时检测,就算他们立刻切换语言切换IP,都还能检测到拦掉,那肯定是愿意付钱的。现在只能是没办法的办法。
不懂,纯粹复制粘贴,实在搜索完了看不懂才来提问的
不然继续深耕国内得饿死了,搞外贸的心一样黑
太高端了,我跟不上这种高端人才的节奏,我现在准备去阿富汗开金,签证都签好了
想了下,是遇到黑名单条件的就给他个验证界面,等于打上标记。然后用自动化将这群标记过的直接永久拉黑?但是用什么做特征,搞这一行的梯子满地跑。
PM
如果利润可观,我可以直接找一个远端用户,让他帮我访问网站,然后告诉我内容,或者打包网站发给我,我再在本地浏览
不要总想着技术解决这些问题
还是我说的,投资回报比的问题
人永远是计算机安全体系里最薄弱的一环
直接和远端用户腾讯会议共享桌面,找个兼职付工资给他就完事
要搞多个国家和地区的梯子成本也不低的,如果是我,只要利润可观,直接远端雇人,还能直接人脑分析,每天汇总成文档给我
“上兵伐谋,其次伐交,其次伐兵,其下攻城。”
单纯只是我猜,我现在搞得这产品的利润应该也不至于到到社工这个地步。只是可以多一片蓝海这样
如此的话,你需要的是高精度IP库,自己定义防火墙规则,如果cloudflare的IP库好用的话,国内也就无法访问chatGPT了
然后就是验证码系统,可以验证环境的,比如是否指纹浏览器,是否套了代理等
道高一尺魔高一丈,即使这样依然不能绝对保证你的信息不泄露,你对此有多的投入?能接受多少损失?
最有效的,如果是分销,和上游签独家代理协议,如果是自研,去申请专利。垄断才能带来利润
想通过其他方式增加的对方的成本,最后只能增加两方的成本,便宜了像我这种搞计算机的
地区判断本来就不应该做在前端,人间打个断点把你这段js干掉就行了。在服务端根据请求头里的语言(accept-language)发送跳转指令。
大佬牛波一