我爱小程序
小程序已经上线跑了几个月(调用量完全正常,不存在程序有bug的情况),今天-2020年6月24日早上突然收到报警,说我云函数调用资源用完,上后台一看,好家伙!凌晨1-3点云函数被调用了接近上百万次,而活跃用户只有21人!
很明显是云函数被人破解了直接用脚本跑出来的,正常人访问小程序页面不可能在几个小时内达到这么81.42万次这么多!!!
用云函数的初衷就是看中它的安全性,现在看毫无安全性可言,直接把我的接口跑挂了。
希望官方能够重视这次事件,封杀爬云函数的账号,并能进一步加强云开发的安全性问题,不让云开发使用者使用的时候都担心受怕。
更新后续: 经官方排查为微信爬虫,一般创建一个小程序后,后台的页面收录默认是开启的,而且每日爬虫的次数默认是无上限了,因此为了避免不必要的 资源浪费,假如你希望被官方爬虫收录,但是又不想被无限制的爬取,可以设置每日爬取的频率上限,也可以在项目中的sitemap进行更所维度的收 录配置。
网友回复
Justan:
爬虫? 你提交收录页面是不是有些多
袁述(小程序全栈开发):
吓得我赶紧设置了一下。开了按量付费,就怕一觉睡醒,全部资产就变成"疼讯"的了。
Booker Zhao(赵兵):
同步下刚刚沟通的结论
这个小程序开启了页面收录的功能,同时由于小程序页面 URL 带有很多参数导致产生了大量的不同的网址,产生了大量的小程序爬虫访问,导致云函数的请求也大量增加
解决办法:
- 参考小程序收录页面的文档,对页面参数设置下收录规则,避免产生大量不必要的爬虫访问
https://developers.weixin.qq.com/miniprogram/dev/framework/sitemap.html
2. 在微信管理后台,功能 -> 页面内容接入中可以设置爬虫频率上限
陈政:
牛批 那么少用户就被攻击 被针对了