React登录限制如何防止频繁尝试导致接口被攻击?
我给登录表单加了防抖和错误次数限制,但测试时发现攻击者还是能不断重试,这是为什么?
现在用useState记录错误次数,超过3次就禁用按钮,还用了防抖处理:
const Login = () => {
const [attempts, setAttempts] = useState(0);
const handleSubmit = useCallback(debounce(async (e) => {
e.preventDefault();
try {
await loginApi(loginForm);
} catch (err) {
setAttempts(prev => prev +1);
if(attempts >=3) disableForm();
}
}), [loginForm]);
return (
<form onSubmit={handleSubmit}>
{/* 表单字段 */}
{attempts <3 ? <button>登录</button> : '尝试次数过多'}
</form>
);
};
但用Postman疯狂请求接口时,错误次数没被记录,后端说被攻击了。前端的这种限制根本没起作用啊,是不是应该加验证码?或者服务端也要做限流?
- 1
回答
28浏览
React函数组件中如何避免因函数重新创建导致子组件频繁渲染?
我在开发一个React项目时发现,父组件传递的函数每次重新渲染都会生成新引用,导致子组件不必要的重复渲染。比如下面这个搜索框组件: function SearchBar({ onSearch }) {...
- 1
回答
165浏览
前端如何防止频繁登录尝试导致的密码暴力破解?
我现在在做登录功能的安全防护,想限制用户频繁提交密码。之前尝试用前端倒计时禁用提交按钮:setDisabled(true),但用户直接刷新页面就能继续尝试,这样根本没效果。 后端同事说他们已经做了失败...
- 1
回答
20浏览
React中如何验证Cookie数据未被篡改?
我在React项目里用js-cookie设置cookie,但不确定怎么防止别人篡改内容?比如这个登录token: import Cookies from 'js-cookie'; ...
- 1
回答
30浏览
React中如何防止使用window.location.search导致的DOM型XSS?
我在React组件里用URL参数显示用户输入,发现这样写可能有XSS漏洞: function SearchResults() { const searchParam = new URLSearchPa...
- 1
回答
60浏览
React表单二次确认弹窗如何有效防止CSRF攻击?
在做用户删除功能时加了二次确认弹窗,但同事说这不能防止CSRF攻击。我用React写了个带确认对话框的组件,代码类似这样: function DeleteButton() { const handle...
- 1
回答
9浏览
Figma变体状态如何动态绑定到React组件的props?
我在Figma里用Variants给按钮创建了hover和active状态,导出到React组件后,尝试通过props切换状态,但一直显示默认样式。试过用variant="hover",也检查过导出的...
- 1
回答
12浏览
React表单提交如何防止CSRF攻击?隐藏字段没生效?
在React项目里做订单取消功能,用隐藏字段传CSRF令牌,但提交时后端返回403错误。代码是这样写的: function CancelOrderForm() { const [csrfToken, ...
- 2
回答
12浏览
React中如何防范Cookie被劫持?我的会话有时会被盗用
我在用React开发登录功能时,发现用户登录后的session_id存放在Cookie里,但最近测试时发现可以通过XSS漏洞直接读取到这个Cookie。虽然设置了HttpOnly和Secure属性,但...
- 1
回答
26浏览
React中如何用base64解码混淆的字符串,但遇到控制台报错?
我在React组件里尝试用atob解码混淆后的base64字符串,但控制台一直报"Invalid character in input string"错误。明明在后端返回的字符串看起来没问题啊。 比如...
- 1
回答
24浏览
React列表滚动卡顿,如何优化移动端性能?
大家好,我在开发一个移动端React列表页时遇到性能问题。当列表项超过50条后滚动就明显卡顿,尝试用React.memo和useCallback优化过,但效果不明显... 代码结构大概是这样(简化版)...
attempts计数和按钮禁用逻辑,所以你看到的“限制”根本不起作用。要真正防止暴力破解攻击,必须在**服务端做限流和验证机制**,前端的限制只是锦上添花。下面是关键步骤:
### 1. 后端必须做接口限流(Rate Limit)
- 比如每个 IP 每分钟最多请求登录接口 10 次
- 超出限制直接返回 429
- 可用中间件如 Express 的
rate-limiter-flexible,或者用 Nginx 限流### 2. 登录失败次数过多,要记录在服务端
- 用 Redis 记录用户/IP 的失败次数
- 比如连续失败 5 次,锁定账户或返回验证码挑战
- 前端的
attempts控制只是辅助,不能作为唯一限制### 3. 加验证码(推荐)
- 登录失败达到一定次数后触发验证码(reCAPTCHA、极验、点选验证码等)
- 验证码必须服务端验证通过才允许继续登录流程
### 4. 避免爆破账户,登录接口不要暴露是否存在该用户
- 无论用户名是否存在、密码是否正确,都统一返回“用户名或密码错误”
- 避免攻击者用来探测有效账户
---
你现在的 React 代码虽然加了防抖和尝试次数,但这些状态都保存在浏览器内存里,攻击者绕过去非常容易。你可以在前端保留这些逻辑提升体验,但一定要加后端防护,不然就像“给大门装了锁,窗户却开着”。
建议你和服务端一起改,加限流和验证码,这才是完整的防御。