惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

N
News and Events Feed by Topic
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
月光博客
月光博客
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
大猫的无限游戏
大猫的无限游戏
T
Tailwind CSS Blog
S
SegmentFault 最新的问题
V
V2EX
阮一峰的网络日志
阮一峰的网络日志
C
Cisco Blogs
博客园 - 叶小钗
P
Privacy International News Feed
Jina AI
Jina AI
Apple Machine Learning Research
Apple Machine Learning Research
T
Threatpost
IT之家
IT之家
博客园 - 聂微东
Know Your Adversary
Know Your Adversary
Help Net Security
Help Net Security
罗磊的独立博客
I
Intezer
S
Schneier on Security
博客园_首页
C
CERT Recently Published Vulnerability Notes
雷峰网
雷峰网
Cisco Talos Blog
Cisco Talos Blog
宝玉的分享
宝玉的分享
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
Webroot Blog
Webroot Blog
TaoSecurity Blog
TaoSecurity Blog
MyScale Blog
MyScale Blog
P
Privacy & Cybersecurity Law Blog
T
The Exploit Database - CXSecurity.com
PCI Perspectives
PCI Perspectives
Security Latest
Security Latest
H
Heimdal Security Blog
S
Secure Thoughts
Hacker News: Ask HN
Hacker News: Ask HN
Y
Y Combinator Blog
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
Microsoft Security Blog
Microsoft Security Blog
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
SecWiki News
SecWiki News
The GitHub Blog
The GitHub Blog
A
Arctic Wolf
A
About on SuperTechFans
aimingoo的专栏
aimingoo的专栏
T
Threat Research - Cisco Blogs
Engineering at Meta
Engineering at Meta
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC

浏览器

Vivaldi 的地址栏引流也太狠了 微信输入法无法在 edge/chrome 浏览器输入中文 - V2EX 从 Stylish 转到 Stylus,解决部分网站行为异常的问题 - V2EX 推荐一个我做的多浏览器分流和同步的工具 - V2EX iTab 把我自定义添加的网址替换了 - V2EX 怎么让浏览器认为自己是默认浏览器 - V2EX 今天夸克浏览器怎么卡死? - V2EX edge 浏览器就算使用了 disk cache 有时候还是会卡一两秒的真实原因可能是什么?能不能解决? macos 26.5 (25F71)下 edge 浏览器 某些网页会回退到未登录状态。 edge 浏览器访问 service worker 做的 SWR 缓存策略偶尔延迟比较大, chrome 一直很快,如何排查? 兜兜转转最终还是回到了 chrome vibe coding 一个 Safari 书签同步到 Chrome/Firefox 工具 兄弟们平常都用什么浏览器? - V2EX 电脑版 EDGE 浏览器的同步功能是不是坏了? - V2EX 你会愿意为浏览器付费吗? - V2EX chrome 最新的 147 版直接卡爆炸了 - V2EX iTad 标签 扩展 加小动作 ? - V2EX 浏览器插件 沉浸式翻译 是不支持自定义模型了吗? - V2EX 2026 年, V 友们认为最省内存的浏览器是哪个呢?你目前在用的是什么浏览器? - V2EX 折腾了一圈浏览器,我最后还是回到了 Chrome - V2EX 2026 年了,程序员用 chrome 还是用 Safari 比较多?可以说一下推荐的原因吗? - V2EX 关于 Chrome 使用垂直标签栏的几个疑问 - V2EX ARC 浏览器大家还在用么?有啥替换的对象 - V2EX 避免浏览器搜索栏自动跳转 Bing 国内版的方式 - V2EX Ladybird 浏览器宣布采用 Rust 语言逐步替代原有 C++ 代码 - V2EX 有什么简洁的 Chromium 套壳浏览器推荐? - V2EX 大家有没有遇见 Edge 浏览器新版(144.0.3719.92) , CPU 异常占用 - V2EX 有什么推荐的浏览器? - V2EX zen 浏览器无法正常播放 spotify 音乐 - V2EX edge 和系统的绑定是真的恶心啊 - V2EX 小白提问:大家平时用什么浏览器?使用隐私保护的浏览器有可能会反向导致 IP 风险值变高吗? - V2EX 寻找个仿 chrome/edge 的收藏栏的个人首页,自己找 Gemini 写了半天终觉差了点什么 - V2EX 年终, 主力浏览器从 Safari 换回 Chrome,终端从 Ghostty 换回 iTerm - V2EX 我连续熬了三晚为“雪球”写了一个 Tampermonkey“用户脚本”,分享给 V 友,会很“高兴”看到很多人使用 - V2EX 有没有浏览器插件可以将网页视频投屏到 AndroidTV - V2EX 对隐私保护做得好的浏览器都有哪些 - V2EX Ubuntu 上关闭 chrome 窗口后,再次打开卡死 - V2EX 谷歌推出人工智能浏览器 Disco 可以快速编写交互式 Web 应用帮助用户解决问题 - V2EX 哪个安卓手机浏览器可以打开 console 控制台模式,或者执行手动输入的 js 代码 - V2EX 你浏览器的 cookie 或者 localStorage 支持一键上传到 github gist 了 - V2EX 哪个浏览器 Openbox 能用 sidebery+chrome 插件? - V2EX chrome143 以上(含 edge),f12 后查看元素,展开节点啥的非常卡,140 正常,firefox 正常 - V2EX 有没哪款浏览器像 Chrome 一样方便开发调试,但又内存暂用低的? - V2EX dia 浏览器跳区域限制的应对脚本 - V2EX MV3 时代, uBlock Origin Lite 和新版 AdGuard 插件哪个更好? - V2EX chrome 浏览器的 TLS 证书告警没法跳过 - V2EX 为什么没有精简 WebKit? - V2EX 三星出桌面端的浏览器了 - V2EX 浏览器访问一些特定端口会报 ERR_UNSAFE_PORT,有没有什么浏览器不标记不安全端口的? - V2EX 我是提醒备份小助手,提醒你备份油猴和篡改猴数据 - V2EX 微软的 Edge 也挺好用的,但有哪个瞬间,让你想切换回 Chrome? - V2EX Mac 端请使用非 webkit 内核浏览器以获得更好的字体体验 - V2EX Zen 浏览器疑似内存占用有点高啊 - V2EX 我发现 chrome 浏览器调试窗口网络模块中有些请求不展示 - V2EX 有没使用 Firafox 浏览器的朋友,还有什么其它的快速切换代理的浏览器扩展推荐啊? - V2EX 现在手机上还有什么浏览器,可以像 kiwi 一样安装自己的浏览器插件的? v2ex 在干什么,这么占内存 [凡回复必答谢] 你对“企业浏览器”怎么看? - V2EX iOS edge 浏览器菜单风格怎么从瀑布流切换平铺? 浏览器迁移好麻烦 [回复即答谢] 你怎么看个人浏览器收集用户数据这个问题?如果你可以在自己的 NAS 上搭一套浏览器后台同步服务(免费的),你愿意这样做吗? chrome 更新后白屏,网页打开了但是看不到内容
如何知道网络请求是从浏览器发出的
leokun · 2025-09-25 · via 浏览器
kuanat

96

kuanat      2025 年 9 月 26 日   ❤️ 1

这个话题属于懂行的不愿意讲(毕竟多数都会涉及黑灰产),而不懂的基本说不到重点的那种。我就简单总结下算是抛砖引玉了。

浏览器从来都不是可信环境,理论上没有任何办法可以稳定 100% 准确区分真人和机器。

对抗爬虫或者 bot 的基本思路就是提高攻击成本。比如登录之后才能看的,就有帐号成本,限制访问频率的,就有 ip 成本,甚至 cf 五秒盾也可以理解为采集时间成本。

想要提高攻击者的成本,那防御方也要付出代价,比如设想个极端场景,防御方要求所有请求都过一遍 recaptcha ,那防御方确实提高了攻击方的打码成本,但自己也付出了带宽成本,以及造成不便损失正常客户的成本。所以防御方更希望的是,有纯软件的方案,只付出开发成本和少量的运营成本,就能大幅提高攻击者成本的方法。于是就有了各种检测技术。

我这里随便列举一些常见的技术,以及攻击方的应对策略:

1. tls 指纹检测

因为浏览器和常见 python/go 等编程语言的底层 tls 库是不一样的,通过在流量入口做 ssl offloading 的时候,顺便检测一下请求中的 kex (密钥交互)配置,就能起到很好的筛选作用。

应对方式也比较简单,替换 tls 库或者伪装成特定的指纹配置即可。

2. 额外校验字段

同样是针对看请求直接构造接口数据的。在常规业务字段之外增加校验字段,一般由 js 代码执行后产生。

这种可以通过 cdp 控制浏览器或者跑无头等方式绕过。

3. 浏览器环境检测

基本上是前一种方法的增强版。既然攻击者能用真浏览器来伪装,那就检测那些不合理的参数,比如窗口 viewport 大小,一些特定的全局对象等等。到了这一步,基本上标配都是 js 混淆了。

对于水平不高的检测,有经验的攻击者大部分能根据调用栈定位到关键函数方法,绕开检测逻辑直接生成校验字段。

4. js vmp 混淆

基本上这就是最后的防线。把前面各种检测技术打包起来放到 js 中,然后用 js 代码写个虚拟机,再把原始的代码编译成虚拟机指令。这个对抗手段是针对人的,就是拉高对攻击者的技术门槛要求,逆向 vmp 类混淆是要比前面都难的。

从攻击者的角度来看,硬怼 vmp 还原 ast 指令也不是不行,就是累,而且没办法保证这次逆向出来了能用多久。毕竟防守方的策略是,换个混淆参数就是新虚拟机了。

所以多数情况下都是把 js 代码完整扒出来,把它当黑盒来调用。因为外部 js 环境和浏览器不一样,缺少浏览器的很多对象,所以有个专门的说法叫“补环境”,让 js 代码能正常运行。想要知道 js 代码都检测了哪些环境信息,又有一些插桩、自吐的应对策略。

就算实在搞不定,专门搞一个浏览器,就真实地跑校验字段生成,然后把结果给其他自动化的部分用也可以。

大致上就是这样了。对抗的路线最终都会转换成为“对抗成本”的问题。而且从技术原理上说,攻击方是永远可以看到代码的(尽管可能是混淆版本),所以根本藏不住。