摘要：# 当你的网站被“爬”得底裤都不剩时，该上什么手段？ 我前两天帮一个做电商的朋友看后台，好家伙，访问日志里密密麻麻全是同一个IP段，跟蝗虫过境似的。商品详情页、价格、库存，被对方一秒不差地轮着刷。朋友愁眉苦脸：“上了个防火墙，好像没啥用啊。” 我一看，规…

当你的网站被“爬”得底裤都不剩时，该上什么手段？

我前两天帮一个做电商的朋友看后台，好家伙，访问日志里密密麻麻全是同一个IP段，跟蝗虫过境似的。商品详情页、价格、库存，被对方一秒不差地轮着刷。朋友愁眉苦脸：“上了个防火墙，好像没啥用啊。” 我一看，规则就拦了个寂寞——人家换着User-Agent来，IP池深不见底。

这种感觉你懂吧？你精心维护的数据，别人想零成本、自动化地全给你搬走。很多中小站长老觉得，反爬嘛，不就是封几个IP、加点验证码？真不是。现在稍微专业点的爬虫，早就过了那个“蛮力”阶段了。

今天咱不聊那些空泛的“综合防护”，就掰开揉碎了讲两样现在真正管用，但很多站长又配得稀里糊涂的东西：动态Token和行为验证。说真的，很多方案PPT上吹得天花乱坠，真到实战，可能一个没配对的Token就把你自己给绕进去了。

一、动态Token：别把钥匙挂在自家大门上

先打个比方。你家防盗门锁挺高级（好比你的登录接口），但钥匙呢？你图省事，就藏在门口脚垫底下（Token明文放在前端代码或请求参数里）。那贼都不用撬锁，弯腰摸钥匙就行了。

传统静态Token（或API Key）就是这么个“脚垫下的钥匙”。 爬虫只要抓一次包，分析出你的Token生成规律和存放位置，就能无限复用。你封IP？人家换。你限频？人家用分布式慢慢爬。治标不治本。

那动态Token是啥？它是一把随时在变，而且只有合法用户才能实时拿到的新钥匙。

这东西怎么工作的？（说人话版）

1. “埋雷”在页面里：服务器在给你返回网页时，会偷偷在某个犄角旮旯（比如一个隐藏的input标签、一段JS变量的值里）埋下一串随机字符，这就是“种子”。
2. “对暗号”才能请求：当你的浏览器要发起下一个重要请求（比如查询数据、提交订单）时，必须先用JS代码，按照一个只有服务器和前端约定好的算法，用那个“种子”算出一个新的Token。
3. “验明正身”：这个新Token会随着请求发给服务器。服务器自己用同样的“种子”和算法也算一遍，对得上，就是自己人；对不上，或者干脆没带Token？那大概率是“裸奔”的爬虫直接发的请求，直接拒绝。

关键点在这：这个“种子”是每次页面刷新都变的，算Token的算法也可能定期更新。爬虫想模仿？它得先能完整执行你的前端JavaScript代码，拿到那个动态的“种子”，再用正确的算法实时计算。这难度，比单纯复制一个固定字符串高了好几个量级。

我自己看过不少站点，问题往往不是没上动态Token，而是配错了。比如，你把计算Token的核心算法，直接暴露在前端JS里且没做混淆——这不就等于把保险箱密码贴在箱盖上吗？高水平的爬虫工程师分分钟给你逆向出来。

所以，上动态Token，你得：

• 把核心算法弄复杂点，别就一个md5(时间戳+种子)。
• 定期换算法，或者给算法加个版本号。
• 最关键的是，Token一定要和本次会话（Session）或用户行为强绑定。比如，一个Token只能用于提交它所在页面上的那个表单，用完即废。别生成一个Token就让爬虫能爬遍全站。

二、行为验证：是人是狗，走两步看看

验证码大家都很烦，但不得不承认它有用。不过，传统的“看图识字”验证码，用户体验差，而且现在OCR（图片识别技术）和打码平台太发达了，破解成本并不高。

于是，行为验证这东西就火了。它不问你“图上是什么字”，而是看你“怎么做”。

它的逻辑特有意思：我不拦着你看页面内容（这样对SEO友好），但当你触发某个敏感操作（比如疯狂翻页、批量下载、高频查询）时，我才跳出来，让你完成一个只有人类才能轻松做到，但机器模仿起来极其别扭的“小任务”。

常见的“小任务”有哪些？

• 滑动拼图：把缺失的一块滑到正确位置。爬虫要解这个，得先识别图片缺口，再模拟滑动轨迹——而人类的滑动轨迹是有加速度和微小抖动的，机器生成的匀速轨迹太假，高级点儿的验证能看出来。
• 点选文字： “请依次点击：苹果、香蕉”。这需要语义理解，光靠图像识别不行。
• 空间推理： “把手机图标旋转到正确角度”。这需要三维空间感知。
• 无声的挑战： 最绝的是，有些验证在你毫无感知时就完成了。比如，它通过分析你进入页面后的鼠标移动轨迹（人类是随机、有停顿的，爬虫是直线、匀速的）、点击间隔时间、甚至浏览器指纹的完整性，来判断你是真人还是脚本。如果怀疑你，才会弹出上面的图形挑战。

行为验证的精髓在于“行为建模”。服务商会收集海量真人用户的行为数据，训练出一个模型，知道真人“应该”怎么操作。你的行为如果偏离这个模型太远，就会被标记。

这里有个大实话要说：

很多站长买了个行为验证服务，往登录页一放就觉得高枕无忧了。错了！ 爬虫的目标往往不是你的登录口，而是那些无需登录就能访问的数据页面。你把验证码放在登录页，对防数据爬取有啥用？

正确的做法是：把行为验证放在数据接口上。 比如，商品列表的翻页接口、详情页的查询接口。第一次访问，正常给数据；检测到短时间内高频访问同一类接口，触发验证。这才是打在了爬虫的七寸上。

三、组合拳怎么打？顺序很重要

单独用动态Token，遇上能执行JS的“高级爬虫”（比如用Puppeteer、Selenium控制的浏览器）可能被破。 单独用行为验证，对于一些“低仿”的人类行为模拟脚本，也可能有漏网之鱼。

所以，得打组合拳，而且顺序有讲究。

一个我比较推荐的思路是：

1. 第一层（流量入口）：基础画像与频率拦截。先看请求频率、IP信誉、User-Agent是否像真人。太离谱的，直接拦掉，省资源。
2. 第二层（核心业务接口）：动态Token挑战。所有关键数据请求，必须携带正确计算的动态Token。这一下就能干掉99%的“裸请求”爬虫（直接用requests库那种）。
3. 第三层（深度防护）：行为验证。对于通过了Token验证，但行为模式依然异常（比如用Token后访问速度非人类地快、访问路径单一）的请求，弹出行为验证。能过的，基本就是真人或者成本极高的模拟浏览器了。

说白了，动态Token是“防君子也防一部分小人”，它提高了爬虫的技术门槛和开发成本。行为验证是“专治各种不服的小人”，它从生物行为层面进行区分。两者叠加，能让绝大部分爬虫团队觉得“爬你家网站性价比太低”，转而去找更软的柿子捏。

最后，别忘了“灯下黑”

搞了一堆高级策略，结果你的数据在某个废弃的、没防护的API接口里裸奔，或者你的手机App接口因为图省事没做验证，那所有功夫都白费。

所以，上任何防护前，先给自己站点做一次“爬虫审计”。用爬虫的视角看看，哪些地方最容易下手。知己知彼，才能把钱花在刀刃上。

行了，技术大概就是这么个逻辑。具体用哪家服务、怎么配置，那就是另一个话题了。但记住核心：反爬没有一劳永逸，本质是一场成本与收益的博弈。 你的策略，就是要让对方的爬取成本，高于数据本身的价值。

如果你的源站数据现在还近乎裸奔，看完这篇文章，你心里应该已经有答案了吧？