纯静态页面 + 只靠前端 JS 防刷 = 几乎没用,防不住任何真正想刷死你站的小人。
我给你用最简单、最直白的逻辑讲清楚为什么:
1. 为什么 JS 防刷没用?
因为所有 JS 代码都在用户浏览器里运行,完全可控。刷站的人只要稍微懂一点,就能轻松绕开:
直接禁用 JS → 你的防刷代码直接失效
打开控制台删掉你的限制变量、定时器
用爬虫、刷量工具 不渲染页面、不执行 JS,只发 HTTP 请求
伪造请求、批量换 IP、批量发请求
你的服务器收到的就是源源不断的真实请求,页面照样被刷爆。
2. 静态页面最怕什么?
纯静态站(HTML + CSS + JS)没有后端逻辑,扛不住两种攻击:CC 攻击 / 高频刷新
一秒几百上千次请求,服务器带宽 / CPU 直接打满,网站打不开。
大量并发请求
静态文件虽然不占数据库,但带宽、连接数是有限的。
被刷多了一样 502、503、直接卡死。
而 JS 管不了HTTP 请求数量,管不了IP 并发,管不了带宽。
3. 那 JS 能防什么?
只能防:普通人手贱狂点 F5
不懂技术的小白脚本
防止页面内按钮被疯狂点击
完全防不住刷站。
4. 纯静态网站想防刷,真正有效的只有这 4 条:
① 套 CDN(最有效、最便宜)把域名挂到 CDN:
真实服务器 IP 隐藏
攻击流量打在 CDN 上
免费 CDN 就能挡掉 90% 刷量
这是静态站防刷的唯一神器。
② 服务器 / Nginx 限流(必须做)
limit_req zone=one burst=5 nodelay;
限制 IP 访问频率,从源头拦请求。JS 做不到,服务器能做到。
③ 防火墙 / 安全组
限制单 IP 连接数,异常 IP 自动拉黑。
④ 屏蔽异常 UA、无 Referer 请求
很多刷流量工具特征非常明显,直接屏蔽即可。
5. 给你一个最真实的结论
纯静态网站 = 没有后端验证 = 不能靠前端防刷。想不被刷死,只有一条路:
CDN + 服务器限流
JS 只能锦上添花,不能保你网站的命。
