ngx.header.content_type="text/html;charset=utf8"
-- redis中key失效时间,做为单位时间内访问次数统计。
timeout = 60
-- 超过阀值,阻断时间,单位秒(等于将key失效时间延长)
blocktime = 120
-- 计数阀值,单位时间内请求次数限制
countper = 10
-- 配置token字段(唯一的字段,可以是其他字符。)从哪里获取。1 header, 2 post参数(需要 MIME type application/x-www-form-urlencoded)
tokenfrom = 2
-- 唯一字段名称
uniquestr = 'token'
if tokenfrom == 1 then
token,e = ngx.req.get_headers()[uniquestr]
else if tokenfrom == 2 then
ngx.req.read_body()
token,e = ngx.req.get_post_args()[uniquestr]
end
end
-- 这里用于处理不带token字段、或者token字段为空的时候不进行防护处理。
-- 比如接口和页面共存的时候 js\css\jpg等资源文件是不含token的。
if token == nil then
ngx.exec("@php")
else
if token == "" then
ngx.exec("@php")
end
end
redis = require("resty.redis")
red = redis:new()
red:set_timeout(1000)
ok,err = red:connect('127.0.0.1','6379')
if not ok then
ngx.say('redis connect failed',err)
end
-- redis 认证,如果空密码则注释掉
--ok,err = red:auth('123')
--if not ok then
-- ngx.say('auth failed:',err)
--end
-- redis 切换库
--ok, err = red:select(1)
--if not ok then
-- ngx.say("failed to select db: ", err)
--end
get,e = red:get(token)
if get ~= ngx.null then
get = tonumber(get)
if get >= countper then
ngx.exit(ngx.HTTP_FORBIDDEN)
end
count = get + 1
e = red:ttl(token)
red:set(token, count)
red:expire(token, e)
if count == countper then
red:expire(token, blocktime)
end
else
red:set(token, 1)
red:expire(token, timeout)
end
ok, err = red:close()
ngx.exec("@php")
@php部分为nginx中location 内部调用
以上代码保存到/home/software/openresty/nginx/lua/default.lua中。
openresty中nginx部分配置
location / {
lua_code_cache on;
content_by_lua_file /home/software/openresty/nginx/lua/default.lua;
}
location @php
{
proxy_pass http://127.0.0.1:8888;
}
这段防CC代码比较适用于接口调用或者前后分离的站,因为一般都是通过接口访问,接口会带认证信息,这个认证信息可以做为判断唯一来源。
像普通网站没有比较适合判断唯一的地方,仅仅一个ip不能满足,而且ip可以通过代理更换,所以不适用于普通类型网站。
上面的配置参数表示:
以post请求中token字段做为redis中key唯一值,在60秒内请求次数超过10次后,则阻断120秒。待key超时后(120秒),则可以继续访问。
