Your browser does not seem to support JavaScript. As a result, your viewing experience will be diminished, and you have been placed in read-only mode.
Please download a browser that supports JavaScript, or enable it if it's disabled (i.e. NoScript).
真实 IP 头没传对或没信任对。限流看到同一个来源,就会把正常用户当攻击。
外层 Nginx 有 X-Forwarded-For,内层没配 real_ip。
多层代理要有信任边界。不是看到 X-Forwarded-For 就信,要只信来自上游代理的头。
FRP 也要确认能不能保留来源信息。不同模式下行为不一样。
登录、注册、搜索、附件上传的限流策略也不应该一样。
限流上线前要看基线。每分钟多少请求算正常,不能拍脑袋。
我们按单 IP 每分钟 60 次,结果一个公司出口就被封。
社区用户常在公司网络后面,单 IP 不等于单用户。可以结合账号、路径、风险等级。
错误提示也要面向用户。别直接显示 rate limit exceeded。
现在恢复真实 IP,登录限流也调宽了。
监控误封数量。限流不是开了就完事,要看有没有伤到正常用户。
复盘写“安全策略没有走用户路径验证”,不是 Nginx 配置小问题。
你好!看起来您对这段对话很感兴趣,但您还没有一个账号。
厌倦了每次访问都刷到同样的帖子?您注册账号后,您每次返回时都能精准定位到您上次浏览的位置,并可选择接收新回复通知(通过邮件或推送通知)。您还能收藏书签、为帖子顶,向社区成员表达您的欣赏。
有了你的建议,这篇帖子会更精彩哦 💗
