ASP.NET Core IP 请求频率限制

最新推荐文章于 2025-07-04 13:43:00 发布
转载 最新推荐文章于 2025-07-04 13:43:00 发布 · 3.9k 阅读 · 7

在网站或API应用中,我们为了防止无聊人士或恶意攻击,通常希望屏蔽某一IP短时间的内高频率请求。在ASP.NET Core中,限制IP请求频率非常简单,我们来看看吧。

轮子一个

.NET Core 目前的生态发展十分迅猛,轮子也越来越多。只要轮子不爆胎,本来就不需要996的.NET开发者就能继续10 5 5!这不,为了限制IP请求频率,我找到了一个不错的轮子:

AspNetCoreRateLimit

GitHub链接:https://github.com/stefanprodan/AspNetCoreRateLimit

640?wx_fmt=gif

安装轮子

我的应用目前一个ASP.NET Core 2.2 MVC的网站,我们可以通过NuGet安装这个轮子,截至本文,它的最新版是3.0.5。

Install-Package AspNetCoreRateLimit

或 .NET Core CLI

dotnet add package AspNetCoreRateLimit

修改Startup.cs

public void ConfigureServices(IServiceCollection services)

{

// 需要从appsettings.json中加载配置

services.AddOptions();

// 存储IP计数器及配置规则

services.AddMemoryCache();


services.Configure<IpRateLimitOptions>(Configuration.GetSection("IpRateLimiting"));

services.AddSingleton<IIpPolicyStore, MemoryCacheIpPolicyStore>();

services.AddSingleton<IRateLimitCounterStore, MemoryCacheRateLimitCounterStore>();


// 按照文档,这两个是3.x版的breaking change,要加上

services.AddSingleton<IHttpContextAccessor, HttpContextAccessor>();

services.AddSingleton<IRateLimitConfiguration, RateLimitConfiguration>();

}

以及

public void Configure(IApplicationBuilder app, IHostingEnvironment env)

{

    // 注意顺序,放在 UseMvc 上面

    app.UseIpRateLimiting();

    app.UseMvc();

}

配置轮子

我的网站有一个URL(/fw/{token}),我希望限制1分钟内一个IP最多访问30次。但是对于其他URL,我并不想做任何限制。

[Route("/fw/{token}")]

public async Task<IActionResult> Forward(string token)

在 appsettings.json 里加入

"IpRateLimiting": {

  "EnableEndpointRateLimiting": true,

  "StackBlockedRequests": false,

  "RealIpHeader": "X-Real-IP",

  "ClientIdHeader": "X-ClientId",

  "HttpStatusCode": 429,

  "GeneralRules": [

    {

      "Endpoint": "*:/fw/*",

      "Period": "1m",

      "Limit": 30

    }

  ]

}

EnableEndpointRateLimiting设置为true,意思是IP限制会应用于单个配置的Endpoint上。如果是false的话,只会限制所有 * 的规则,而不能达到针对单个Endpoint配置的目的。

HttpStatusCode设置为429,意思是触发限制之后给客户端返回的HTTP状态码。

GeneralRules里我只配置了一条,针对/fw这URL的限制。其中,开头的 *: 表示任何HTTP VERB,如GET/POST,而结尾的 /* 表示需要考虑/fw后面的参数,也就是我MVC Action参数里的route参数。

针对不同token,会有不同的计数。比如IP为127.0.0.1的用户在1分钟内请求了 /fw/abcd 10次,又请求了 /fw/qwer 25次,也请求了 /fw/996icu 32次。那么对于该用户,/fw/abcd 的机会还剩下20次,/fw/qwer 的机会还剩下5次,而 /fw/996icu 在第31次请求时会返回429。

这里一定要注意,对于有参数的URL,如果不加结尾的 /* 那么轮子就会爆胎,并且把.NET程序员炸进ICU!

640?wx_fmt=gif

测试轮子

我们可以通过浏览器或CRUL测试IP限制。为了方便测试,我暂时把1分钟的请求频率限制为3次。

第一次请求 https://localhost:5001/fw/某token

640?wx_fmt=png

会发现服务器返回的header里多了3个东西:

X-Rate-Limit-Limit: 1m,表示该限制是1分钟以内

X-Rate-Limit-Remaining: 2,表示当前还剩2次机会

X-Rate-Limit-Reset 表示限制的重置时间

而1分钟内第三次访问该URL,就会触发限制,并且返回429

640?wx_fmt=png640?wx_fmt=png

更多高级配置

AspNetCoreRateLimit 还有许多更高级的用法。比如针对Client ID而不是IP做限制、白名单、分布式计数器存储、自定义返回内容等等,可以参见官网文档:

https://github.com/stefanprodan/AspNetCoreRateLimit/wiki/IpRateLimitMiddleware#setup

640?wx_fmt=jpeg

5步教你轻松搞定.NET Core WebApi接口IP限流,防止恶意请求?这么做就对了!
java专栏
01-31 345
通过以上五个简单的步骤,我们就成功地为.NET Core WebApi添加了IP限流功能。是不是很简单呢?当然,这只是一个基础示例,实际应用场景可能会更加复杂,比如结合其他安全措施如身份验证、授权等共同作用,或者根据业务需求调整限流策略。无论如何,掌握了这些基础知识后,相信你已经可以应对大多数情况下的挑战了。希望今天的分享对你有所帮助,也期待着你能创造出更多有趣且实用的功能。如果你有任何疑问或建议,欢迎随时留言交流哦!😊。
ASP.NET Core 中的限流实现
library_git106的博客
09-22 166
ASP.NET Core 中,我们可以通过使用限流策略来管理和保护我们的应用程序免受过多的请求或恶意行为的影响。本文将介绍如何在 ASP.NET Core 中实现限流,并提供相应的源代码示例。通过以上步骤,我们成功地在 ASP.NET Core 中实现了限流功能。通过配置合适的限流策略,我们可以更好地保护我们的应用程序免受恶意请求和资源滥用的影响。根据我们在限流策略中定义的配置,如果在 1 秒内的请求次数超过 5 次,将会返回。在上述代码中,我们首先添加了内存缓存服务,以便在应用程序中缓存限流策略。
ASP.NET Core WebApi AspNetCoreRateLimit 限流中间件简单使用
JonasZhang1995的专栏
03-14 1591
AspNetCoreRateLimit 介绍说明: 麻烦各位看官移步官网介绍直通车:https://github.com/stefanprodan/AspNetCoreRateLimit Startup文件限流控制代码演示 public void ConfigureServices(IServiceCollection services) { ...
Asp.Net Core安全防护-客户端IP白名单限制
https://github.com/conanl5566
11-20 639
前言 本篇展示了如何在ASP.NET Core应用程序中设置IP白名单验证的2种方式。 你可以使用以下2种方式: 用于检查每个请求的远程 IP 地址的中间件。 MVC 操作筛选器,用于检查针对特定控制器或操作方法的请求的远程 IP 地址。 中间件 Startup.Configure方法将自定义AdminSafeListMiddleware中间件类型添加到应用的请求管道。使用 .NET Core 配置提供程序检索到该安全,并将其作为构造函数参数进行传递。 ...
ASP.NET Core 中使用 RabbitMQ 的基础指南
最新发布
混迹自留地
07-04 939
RabbitMQ 是一个开源的消息代理。它支持 AMQP 协议,用于在分布式系统中发送和接收消息。它通过队列管理消息,支持多种通信方式(如点对点、发布/订阅)。它常用于微服务之间传递数据。
ASP.NET网站限制访问频率
weixin_34062469的博客
09-19 330
      最近做了一个免费发短信的小网站(http://freesms.cloudapp.net/),但发现最近有人破解了我的验证码,以每3秒/条的速度用我的短信服务来发他的广告。更换验证码程序和过滤关键字只是治标不治本的方法,为了彻底阻止此类事件的发生,我们还是来看一下怎样通过优化程序来实现。      其实同样的程序除了防止别人滥发请求以外,还对预防拒绝服务(DoS)攻击同样适用哦。不妨来...
.NET Core WebApi 接口ip限流实践
IsZYya的博客
07-05 863
之前一直想实现接口限流,但一直没去实现,然后刚好看到一篇文章是基于组件的限流策略。这个组件不做多的介绍,想了解详情可以去访问官方网址或者原文地址,地址在文章底部,本文只讲实现。
ASP.NET Core 使用限流中间件AspNetCoreRateLimit
学习和分享
08-07 1019
AspNetCoreRateLimit 是一个流行的 ASP.NET Core 限流中间件,用于控制对 API 的访问频率,以防止资源耗尽或过度使用。
ASP.NET Core Web API 接口限流
RzuScala的博客
09-24 382
通过按照上述步骤配置和应用接口限流中间件,您可以保护您的应用程序并提高其可用性和性能。在ASP.NET Core Web API中,接口限流是一种常见的技术,用于控制和管理对API端点的访问速率。通过限制每个客户端可以发送的请求数量或时间间隔,接口限流可以防止过多的请求对服务器造成过载,并提高应用程序的可用性和性能。现在,您已经成功配置了接口限流。上述代码将内存缓存和限流配置添加到服务容器中,并配置了IP限流选项和策略。上述配置将启用接口限流,并定义了默认的限流规则,即每秒最多允许5个请求
ASP.NET跨站请求伪造(CSRF)防护实战】:策略与实践指南
![【ASP.NET跨站请求伪造(CSRF)防护实战】:策略与实践指南]...同时,本文还提供了详细的ASP.NET CSRF防护实践指南,包括如何在ASP.NET MVC和Core中实现
.NET接口访问频率限制——MvcThrottle
二月十六的博客
09-13 3147
搜索安装WebApiThrottle
ASP.NET Core如何限制请求频率
qq_38613453的博客
11-18 3481
ASP.NET Core如何限制请求频率,为了防止恶意请求,我们往往会对接口请求频率限制,比如请求间隔,一段时间内请求的次数,针对部分IP做出不同的限制策略 如何去限制请求频率不需要我们去实现,用上AspNetCoreRateLimit轮子就好了???? Github地址:https://github.com/stefanprodan/AspNetCoreRateLimit N...
asp.Net(c#)中实现IP地址限制访问~
[SamForum]
11-23 3514
感觉可能会有点用,就直接把代码帖出来了,很简单,也就不做什么说明了 :)  private  static Int64 GetIPNum(string ip)  {      Int64 num = 0;      string[] ips = new string[4];      ips = ip.Split(.);      num = Convert.ToInt64(ips[0])*2
【转载】ASP.NET网站限制访问频率
学过印刷包装工程研究过食品科学且会点计算机编程的多功能码农
01-17 1148
【转载】ASP.NET网站限制访问频率      基本目标:限制同一IP访问网站的频率。比如,我们限制为每240分钟来自同一IP的用户最多只能够访问首页40次、其他页面200次。      比如您现在可以打开http://freesms.cloudapp.net/ 这个网站试一试,刷新40次,就可以发现您在4小时内无法再次访问到正确的网站内容了。      基本思想:
.Net WebAPI 增加对接口的IP访问限制
qq_41609957的博客
02-03 1310
【代码】.Net WebAPI 增加对接口的IP访问限制
.Net Core:限流
weixin_45032957的博客
07-05 1164
二、基础使用 1.设置 在Startup文件中配置如下,把配置项都放在前面: 复制代码 public void ConfigureServices(IServiceCollection services) {   // 从appsettings.json中加载ip限流配置通用规则   services.Configure(Configuration.GetSection(“IpRateLimiting”));   // 从appsettings.json中加载ip限流规则   services.Config
AspNetCore 限流中间件IpRateLimitMiddleware 介绍
努力努力再努力Joanna
05-27 1496
IpRateLimitMiddleware(Github: AspNetCoreRateLimit) 是ASPNETCore的一个限流的中间件,用于控制客户端调用API的频次, 如果客户端频繁访问服务器,可以限制它的频率,已降低访问服务器端的压力。或者如果有爬虫在爬取关键数据,也可以限制某个/某些API或者某些IP的每天调取次数, 这样限制他爬取的速度。 当然, 其实我要解决的是另外一个问题。 我们写的WebApi有时候会存在一些API,我们只希望其它内部应用来调用,比如,WebApi的HealthChe
api安全之ip访问限制
cominglately的博客
06-13 5589
参考文档: http://www.cnblogs.com/jackluo/archive/2013/03/03/2941411.html 两种方式可以获取客户端的ip的 $ip = isset($_SERVER['REMOTE_ADDR'])?$_SERVER['REMOTE_ADDR']:''; if (!$ip || !filter_var($ip, FILTER_VALIDA
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值