惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Forbes - Security
Forbes - Security
A
Arctic Wolf
M
MIT News - Artificial intelligence
T
Threat Research - Cisco Blogs
T
The Exploit Database - CXSecurity.com
C
CERT Recently Published Vulnerability Notes
NISL@THU
NISL@THU
L
Lohrmann on Cybersecurity
Martin Fowler
Martin Fowler
A
About on SuperTechFans
P
Palo Alto Networks Blog
Project Zero
Project Zero
The GitHub Blog
The GitHub Blog
WordPress大学
WordPress大学
Blog — PlanetScale
Blog — PlanetScale
博客园_首页
大猫的无限游戏
大猫的无限游戏
Cisco Talos Blog
Cisco Talos Blog
P
Proofpoint News Feed
D
DataBreaches.Net
Cyberwarzone
Cyberwarzone
T
Tor Project blog
IT之家
IT之家
P
Proofpoint News Feed
Help Net Security
Help Net Security
S
Securelist
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
C
CXSECURITY Database RSS Feed - CXSecurity.com
Microsoft Azure Blog
Microsoft Azure Blog
V2EX - 技术
V2EX - 技术
K
Kaspersky official blog
Hugging Face - Blog
Hugging Face - Blog
MongoDB | Blog
MongoDB | Blog
B
Blog
N
News and Events Feed by Topic
The Cloudflare Blog
S
Schneier on Security
P
Privacy & Cybersecurity Law Blog
T
The Blog of Author Tim Ferriss
Recorded Future
Recorded Future
Last Week in AI
Last Week in AI
The Last Watchdog
The Last Watchdog
Hacker News - Newest:
Hacker News - Newest: "LLM"
L
LangChain Blog
I
InfoQ
F
Full Disclosure
The Register - Security
The Register - Security
阮一峰的网络日志
阮一峰的网络日志
H
Hacker News: Front Page
V
V2EX

浏览器

Vivaldi 的地址栏引流也太狠了 微信输入法无法在 edge/chrome 浏览器输入中文 - V2EX 从 Stylish 转到 Stylus,解决部分网站行为异常的问题 - V2EX 推荐一个我做的多浏览器分流和同步的工具 - V2EX iTab 把我自定义添加的网址替换了 - V2EX 怎么让浏览器认为自己是默认浏览器 - V2EX 今天夸克浏览器怎么卡死? - V2EX edge 浏览器就算使用了 disk cache 有时候还是会卡一两秒的真实原因可能是什么?能不能解决? macos 26.5 (25F71)下 edge 浏览器 某些网页会回退到未登录状态。 edge 浏览器访问 service worker 做的 SWR 缓存策略偶尔延迟比较大, chrome 一直很快,如何排查? 兜兜转转最终还是回到了 chrome vibe coding 一个 Safari 书签同步到 Chrome/Firefox 工具 兄弟们平常都用什么浏览器? - V2EX 电脑版 EDGE 浏览器的同步功能是不是坏了? - V2EX 你会愿意为浏览器付费吗? - V2EX chrome 最新的 147 版直接卡爆炸了 - V2EX iTad 标签 扩展 加小动作 ? - V2EX 浏览器插件 沉浸式翻译 是不支持自定义模型了吗? - V2EX 2026 年, V 友们认为最省内存的浏览器是哪个呢?你目前在用的是什么浏览器? - V2EX 折腾了一圈浏览器,我最后还是回到了 Chrome - V2EX 2026 年了,程序员用 chrome 还是用 Safari 比较多?可以说一下推荐的原因吗? - V2EX 关于 Chrome 使用垂直标签栏的几个疑问 - V2EX ARC 浏览器大家还在用么?有啥替换的对象 - V2EX 避免浏览器搜索栏自动跳转 Bing 国内版的方式 - V2EX Ladybird 浏览器宣布采用 Rust 语言逐步替代原有 C++ 代码 - V2EX 有什么简洁的 Chromium 套壳浏览器推荐? - V2EX 大家有没有遇见 Edge 浏览器新版(144.0.3719.92) , CPU 异常占用 - V2EX 有什么推荐的浏览器? - V2EX zen 浏览器无法正常播放 spotify 音乐 - V2EX edge 和系统的绑定是真的恶心啊 - V2EX 小白提问:大家平时用什么浏览器?使用隐私保护的浏览器有可能会反向导致 IP 风险值变高吗? - V2EX 寻找个仿 chrome/edge 的收藏栏的个人首页,自己找 Gemini 写了半天终觉差了点什么 - V2EX 年终, 主力浏览器从 Safari 换回 Chrome,终端从 Ghostty 换回 iTerm - V2EX 我连续熬了三晚为“雪球”写了一个 Tampermonkey“用户脚本”,分享给 V 友,会很“高兴”看到很多人使用 - V2EX 有没有浏览器插件可以将网页视频投屏到 AndroidTV - V2EX 对隐私保护做得好的浏览器都有哪些 - V2EX Ubuntu 上关闭 chrome 窗口后,再次打开卡死 - V2EX 谷歌推出人工智能浏览器 Disco 可以快速编写交互式 Web 应用帮助用户解决问题 - V2EX 哪个安卓手机浏览器可以打开 console 控制台模式,或者执行手动输入的 js 代码 - V2EX 你浏览器的 cookie 或者 localStorage 支持一键上传到 github gist 了 - V2EX 哪个浏览器 Openbox 能用 sidebery+chrome 插件? - V2EX chrome143 以上(含 edge),f12 后查看元素,展开节点啥的非常卡,140 正常,firefox 正常 - V2EX 有没哪款浏览器像 Chrome 一样方便开发调试,但又内存暂用低的? - V2EX dia 浏览器跳区域限制的应对脚本 - V2EX MV3 时代, uBlock Origin Lite 和新版 AdGuard 插件哪个更好? - V2EX chrome 浏览器的 TLS 证书告警没法跳过 - V2EX 为什么没有精简 WebKit? - V2EX 三星出桌面端的浏览器了 - V2EX 浏览器访问一些特定端口会报 ERR_UNSAFE_PORT,有没有什么浏览器不标记不安全端口的? - V2EX 我是提醒备份小助手,提醒你备份油猴和篡改猴数据 - V2EX 微软的 Edge 也挺好用的,但有哪个瞬间,让你想切换回 Chrome? - V2EX Mac 端请使用非 webkit 内核浏览器以获得更好的字体体验 - V2EX Zen 浏览器疑似内存占用有点高啊 - V2EX 我发现 chrome 浏览器调试窗口网络模块中有些请求不展示 - V2EX 有没使用 Firafox 浏览器的朋友,还有什么其它的快速切换代理的浏览器扩展推荐啊? - V2EX 现在手机上还有什么浏览器,可以像 kiwi 一样安装自己的浏览器插件的? v2ex 在干什么,这么占内存 [凡回复必答谢] 你对“企业浏览器”怎么看? - V2EX iOS edge 浏览器菜单风格怎么从瀑布流切换平铺? 浏览器迁移好麻烦 [回复即答谢] 你怎么看个人浏览器收集用户数据这个问题?如果你可以在自己的 NAS 上搭一套浏览器后台同步服务(免费的),你愿意这样做吗? chrome 更新后白屏,网页打开了但是看不到内容
如何知道网络请求是从浏览器发出的
leokun · 2025-09-25 · via 浏览器
kuanat

96

kuanat      2025 年 9 月 26 日   ❤️ 1

这个话题属于懂行的不愿意讲(毕竟多数都会涉及黑灰产),而不懂的基本说不到重点的那种。我就简单总结下算是抛砖引玉了。

浏览器从来都不是可信环境,理论上没有任何办法可以稳定 100% 准确区分真人和机器。

对抗爬虫或者 bot 的基本思路就是提高攻击成本。比如登录之后才能看的,就有帐号成本,限制访问频率的,就有 ip 成本,甚至 cf 五秒盾也可以理解为采集时间成本。

想要提高攻击者的成本,那防御方也要付出代价,比如设想个极端场景,防御方要求所有请求都过一遍 recaptcha ,那防御方确实提高了攻击方的打码成本,但自己也付出了带宽成本,以及造成不便损失正常客户的成本。所以防御方更希望的是,有纯软件的方案,只付出开发成本和少量的运营成本,就能大幅提高攻击者成本的方法。于是就有了各种检测技术。

我这里随便列举一些常见的技术,以及攻击方的应对策略:

1. tls 指纹检测

因为浏览器和常见 python/go 等编程语言的底层 tls 库是不一样的,通过在流量入口做 ssl offloading 的时候,顺便检测一下请求中的 kex (密钥交互)配置,就能起到很好的筛选作用。

应对方式也比较简单,替换 tls 库或者伪装成特定的指纹配置即可。

2. 额外校验字段

同样是针对看请求直接构造接口数据的。在常规业务字段之外增加校验字段,一般由 js 代码执行后产生。

这种可以通过 cdp 控制浏览器或者跑无头等方式绕过。

3. 浏览器环境检测

基本上是前一种方法的增强版。既然攻击者能用真浏览器来伪装,那就检测那些不合理的参数,比如窗口 viewport 大小,一些特定的全局对象等等。到了这一步,基本上标配都是 js 混淆了。

对于水平不高的检测,有经验的攻击者大部分能根据调用栈定位到关键函数方法,绕开检测逻辑直接生成校验字段。

4. js vmp 混淆

基本上这就是最后的防线。把前面各种检测技术打包起来放到 js 中,然后用 js 代码写个虚拟机,再把原始的代码编译成虚拟机指令。这个对抗手段是针对人的,就是拉高对攻击者的技术门槛要求,逆向 vmp 类混淆是要比前面都难的。

从攻击者的角度来看,硬怼 vmp 还原 ast 指令也不是不行,就是累,而且没办法保证这次逆向出来了能用多久。毕竟防守方的策略是,换个混淆参数就是新虚拟机了。

所以多数情况下都是把 js 代码完整扒出来,把它当黑盒来调用。因为外部 js 环境和浏览器不一样,缺少浏览器的很多对象,所以有个专门的说法叫“补环境”,让 js 代码能正常运行。想要知道 js 代码都检测了哪些环境信息,又有一些插桩、自吐的应对策略。

就算实在搞不定,专门搞一个浏览器,就真实地跑校验字段生成,然后把结果给其他自动化的部分用也可以。

大致上就是这样了。对抗的路线最终都会转换成为“对抗成本”的问题。而且从技术原理上说,攻击方是永远可以看到代码的(尽管可能是混淆版本),所以根本藏不住。