React登录限制如何防止频繁尝试导致接口被攻击?
我给登录表单加了防抖和错误次数限制,但测试时发现攻击者还是能不断重试,这是为什么?
现在用useState记录错误次数,超过3次就禁用按钮,还用了防抖处理:
const Login = () => {
const [attempts, setAttempts] = useState(0);
const handleSubmit = useCallback(debounce(async (e) => {
e.preventDefault();
try {
await loginApi(loginForm);
} catch (err) {
setAttempts(prev => prev +1);
if(attempts >=3) disableForm();
}
}), [loginForm]);
return (
<form onSubmit={handleSubmit}>
{/* 表单字段 */}
{attempts <3 ? <button>登录</button> : '尝试次数过多'}
</form>
);
};
但用Postman疯狂请求接口时,错误次数没被记录,后端说被攻击了。前端的这种限制根本没起作用啊,是不是应该加验证码?或者服务端也要做限流?
- 2
回答
62浏览
React函数组件中如何避免因函数重新创建导致子组件频繁渲染?
我在开发一个React项目时发现,父组件传递的函数每次重新渲染都会生成新引用,导致子组件不必要的重复渲染。比如下面这个搜索框组件: function SearchBar({ onSearch }) {...
- 2
回答
188浏览
前端如何防止频繁登录尝试导致的密码暴力破解?
我现在在做登录功能的安全防护,想限制用户频繁提交密码。之前尝试用前端倒计时禁用提交按钮:setDisabled(true),但用户直接刷新页面就能继续尝试,这样根本没效果。 后端同事说他们已经做了失败...
- 2
回答
39浏览
React 项目如何防止被嵌入 iframe 导致点击劫持?
我最近在做公司后台系统,用的是 React,担心被人用 iframe 嵌套我们的页面搞点击劫持。听说可以通过设置 X-Frame-Options 或 Content-Security-Policy 来...
- 1
回答
38浏览
React中如何验证Cookie数据未被篡改?
我在React项目里用js-cookie设置cookie,但不确定怎么防止别人篡改内容?比如这个登录token: import Cookies from 'js-cookie'; ...
- 1
回答
47浏览
React中如何防止使用window.location.search导致的DOM型XSS?
我在React组件里用URL参数显示用户输入,发现这样写可能有XSS漏洞: function SearchResults() { const searchParam = new URLSearchPa...
- 2
回答
91浏览
React表单二次确认弹窗如何有效防止CSRF攻击?
在做用户删除功能时加了二次确认弹窗,但同事说这不能防止CSRF攻击。我用React写了个带确认对话框的组件,代码类似这样: function DeleteButton() { const handle...
- 1
回答
49浏览
React Native 中如何正确适配 iOS 和 Android 的状态栏高度差异?
我在用 React Native 开发一个跨端 App,发现 iOS 和 Android 的状态栏高度不一样,导致页面顶部布局错乱。试过用 SafeAreaView 包裹,但在某些 Android 机...
- 1
回答
84浏览
React App 如何防止被二次打包篡改?
最近上线了一个 React 移动端 H5 应用,担心被人抓包后二次打包、注入恶意代码。我试过混淆 JS,但发现别人还是能轻易反编译并修改逻辑。比如下面这段关键的支付跳转逻辑: const handle...
- 1
回答
39浏览
React中如何控制数据请求的优先级?
我在用React做搜索功能,用户频繁输入时会触发多次请求,旧的请求结果反而覆盖了新的,怎么让新请求优先、取消旧的? 试过用AbortController,但不确定是不是用对了,代码大概是这样: use...
- 2
回答
34浏览
mpvue中如何正确使用React写法处理小程序生命周期?
我最近在用mpvue开发小程序,但团队习惯用React的写法,所以尝试在mpvue里写类似React的组件。可是在页面加载时onLoad没被触发,数据也没更新,是不是mpvue不支持这种写法? 我试过...
攻击者用Postman直接调接口,根本不经过你这套React代码,useState记多少次都没用。前端的限制只能防小白,防不了攻击。
正确的做法是服务端限流,给你个Node.js/Express的例子:
或者用Redis实现更精准的IP+账号维度的限流:
验证码也建议加上,图形验证码或滑块验证都行,能有效防止暴力破解。前端那套限制保留着当用户体验优化就行,别当安全手段用。
总结一下:前端限制是给正常用户看的,安全防护必须在后端做。
attempts计数和按钮禁用逻辑,所以你看到的“限制”根本不起作用。要真正防止暴力破解攻击,必须在**服务端做限流和验证机制**,前端的限制只是锦上添花。下面是关键步骤:
### 1. 后端必须做接口限流(Rate Limit)
- 比如每个 IP 每分钟最多请求登录接口 10 次
- 超出限制直接返回 429
- 可用中间件如 Express 的
rate-limiter-flexible,或者用 Nginx 限流### 2. 登录失败次数过多,要记录在服务端
- 用 Redis 记录用户/IP 的失败次数
- 比如连续失败 5 次,锁定账户或返回验证码挑战
- 前端的
attempts控制只是辅助,不能作为唯一限制### 3. 加验证码(推荐)
- 登录失败达到一定次数后触发验证码(reCAPTCHA、极验、点选验证码等)
- 验证码必须服务端验证通过才允许继续登录流程
### 4. 避免爆破账户,登录接口不要暴露是否存在该用户
- 无论用户名是否存在、密码是否正确,都统一返回“用户名或密码错误”
- 避免攻击者用来探测有效账户
---
你现在的 React 代码虽然加了防抖和尝试次数,但这些状态都保存在浏览器内存里,攻击者绕过去非常容易。你可以在前端保留这些逻辑提升体验,但一定要加后端防护,不然就像“给大门装了锁,窗户却开着”。
建议你和服务端一起改,加限流和验证码,这才是完整的防御。