如何使我的所有webistes只能通过浏览器访问，而不是自动脚本。

Question

我知道我的网站被一些运行libwww-perl BOT/0.1 (BOT for JCE)和Gecko/20100101的汽车入侵了

有没有办法，我的所有网站都是只向真正的浏览器，而不是这些自动脚本。

Answer 1

不，您不能确保您的网站只对真正的浏览器可用。这是因为您必须确定客户端平台和web浏览器的唯一数据源是请求头，它可以被黑客完全伪造。

例如，黑客可以使用像Fiddler这样的工具向您的网站发送一个自定义HTTP请求，它带有一个伪造的User-Agent请求头，看起来就像Internet、Chrome、Firefox、Googlebot或其他HTTP客户端。因此，根据HTTP请求数据识别黑客和合法用户是非常困难的，如果不是不可能的话。

Answer 2

我可以给您列出您可以提供的无数防御(限制用户代理，使您的内容显示使用JavaScript从XML文件，captchas -多么好的方式激怒你的观众！)但他们只有在想办法避开他们的时候，才能避开不可避免的事情。

最好的做法是在问题的心脏上插上一根木桩，而不是试图在防守完成后进行防御。如果您能够，请查看应用程序，并试图找出他们如何能够进入，并试图修补漏洞。最明显的地方是表单输入--这些输入是否在不首先被解析的情况下传递给SQL字符串？它们是否生成SQL字符串，而不是使用预先准备好的语句(这些语句会从word go中终止SQL注入尝试)？如果你能解决的话，就去做吧。如果这是别人的产品，创建一个补丁并发送给他们。

在安全方面你能做的最糟糕的事情就是假设它不会发生在你身上。蠕虫，病毒和汽车人通常不够聪明，以认识到你的小网站不是一个威胁。

要聪明，要安全，要注意。