Expressでスパム送信を制限する最良の方法は何ですか？

Question

私はNode.js/Expressを実行するWebアプリケーションを持っています。私はいくつかの検索を行っています。

基本的には、いつも、コメント、評価などを投稿できるウェブアプリがあります。これはすべて問題ありませんが、誰かがPostmanのようなものを使用している場合は、100/1000sのコメントをPostmanのPOSTをクリックするだけです。

これを処理する最善の方法は何ですか？私はちょうどユーザーアクションサーバー側（コメント/評価X量&時間後）を制限するか、より良い方法がありますか？

理想的には私は何を提出するポストマンのようなソフトウェアを使用することができるという離陸したいのですが - 私は、ウェブサイトを介してすべてをしたいが、それはルートだから、これが可能である場合、私はわからないんだけど？

アドバイスをいただければ幸いです！

Answer 1

これは積極的にあなたが直面している問題でない限り、私は、一般的なアドバイスとして、あなたの時間をよりよく他の場所で費やされていることを示唆しています。彼らが言うように、YAGNI。

実際の問題では、過負荷攻撃の処理にはさまざまな方法があります。最も簡単な選択肢は、開発中のAPIが認証を必要とする場合です。もしそうなら、アカウントごとのレート制限を適用することができます。たとえば、ユーザーあたり1分あたり100リクエスト。

あなたはexpress-rate-limitのようなものを使用していることを行うことができます。

あなたはサービス攻撃の実際の大規模な拒否を心配している場合は、これらの日は、要求は、アプリケーション・サーバー層に到達する前に長い発生する必要が緩和。

CloudFlareやAkamaiのような企業は、これをサービスとして提供しています。サービスでは、ドメインをDDoS対応インフラストラクチャに移行するように設定し、検証されたトラフィックをExpressサーバに転送します。