我正在构建一个允许用户报告流量延迟的Web应用程序。我希望用户能够(如果可能的话)在不注册或登录的情况下创建报告,还可以防止用户通过限制未经身份验证的用户可以创建的报告数量来引入非有用数据。
这可能没有cookie或存储IP地址吗?
我的理由是创建报告的摩擦力越小,用户就越愿意制作报告。
答案 0 :(得分:0)
您可以使用验证码来停止自动发布并阻止用户进行大量提交(解决验证码在一段时间后无效)。但如果这种情况过于干扰,那么没有IP地址就没有多少工作要做。考虑低级别的界面。即使假设您允许cookie,用户也会向您的服务器发送GET请求以获取有效的会话ID(或更通用的设置中的cookie状态),然后向您的服务器发送包含cookie和报告的POST请求。没有任何东西可以让服务器区分上述一千个用户和一个跟随上千次用户的千名用户。
因此,我要说:不,你必须忍受攻击的风险,并可能在统计级别过滤它们或实施一些基于IP地址的限制。