“原先就被爬，AI 起来以后，防不胜防，爬的更狠了”——某位大论坛的 CEO 如是说。

🚀 传统的反爬虫

1. 检查 User-Agent，封禁常见爬虫的 User-Agent 特征
2. 检查 Referer，封禁不合法的 Referer 特征
3. 限制访问频率，对访问超过限制的 IP 实施封禁
4. 检查 Cookie，给认证过的合法用户颁发 Cookie，阻断 Cookie 不合法的用户
5. JS 动态渲染，关键术语使用 JS 加密后动态生成

🚀 传统反爬虫的无奈

        针对以上讲到的传统反爬虫方式，其实有很多破解方案，可以轻易逃过检测：

1. 检查 User-Agent：对于这种方式，直接在客户端伪造 HTTP 请求头即可绕过
2. 检查 Referer：对于这种方式，直接在客户端伪造 HTTP 请求头即可绕过
3. 限制访问频率：对于这种方式，可以使用代理池来获得大量源 IP，每个 IP 实际访问量都不高
4. 检查 Cookie：对于这种方式，可以让先人工获得 Cookie，再把 Cookie 拿给爬虫使用
5. JS 动态渲染：对于这种方式，调用无头浏览器即可绕过

🚀 高阶的反爬虫思路

1. 请求签名：绑定客户端和 SESSION，随意修改 IP、User-Agent、浏览器指纹等信息后 SESSION 自动吊销
2. 识别行为：检测鼠标键盘的使用习惯，检测浏览器窗口的拜访位置，综合判断是不是真人行为
3. 识别无头浏览器：识别本地浏览器的客户端特征，禁止无头浏览器访问
4. 识别自动化调用：识别本地浏览器是不是被自动化程序控制，禁止自动化控制的浏览器访问
5. 交互识别：让用户参与网页交互验证码，比如滑动验证、识别图片、识别文字等
6. 算力验证：注入算力验证脚本，消耗 CPU 资源，抬高客户端的访问成本，让原本每秒可以访问 1000 次的设备，在被雷池保护后每秒只能访问 1 次
7. 防止请求重放：增加一次性验证，让 HTTP 请求脱离浏览器后无法重复发送，让复制后的 Cookie 失效
8. 打乱 HTML 结构：对 HTML 代码结构进行动态打乱，让爬虫无法识别网页特征
9. 混淆 JS 代码：对 JS 代码进行动态混淆，让攻击者无法识别有效的网页逻辑

🚀 怎么用雷池防爬虫

另外，如果有人能绕过雷池的人机验证，欢迎来长亭办公室找我，我请你吃一个月的 KFC。