最近，主機邦的一位客戶反饋網站被大量CC攻擊，而百度云防護毫無反應。

為此主機幫特地去看下該用戶設置的Web防護規(guī)則，發(fā)現(xiàn)這個用戶設置了一個非常長的檢測IP訪問頻率設置。

檢測時長高達1個小時！

要知道幾乎沒有用戶連續(xù)訪問一個網站高達一個小時，而且這一個小時還設置了可以訪問120次，這不是相當于對所有用戶不做訪問頻率限制嘛。

正常的頻率限制應該設置極短的時間內的檢測，比如2秒內不超過3次請求

需要注意的是，如果你要給全站做單IP頻率限制的，一定要查清楚每個頁面大概加載多少內部鏈接，否則可能因為設置太小，導致打開一個頁面，就超過了你設置了請求次數，從而被攔截。

如下圖：

如做了URI：/（全站）前綴匹配的，一定要設置訪問次數高些

而如果你是設置API訪問頻率或者某個網站目錄下的的鏈接，是可以設置最低，設置如下圖：

相當于兩秒內只能訪問一次API，超過次數就封禁1440，這符合正常用戶請求習慣。

訪問頻率限制功能的工作邏輯是你設置的URI單一IP訪問次數來計算的。

比如我設置前綴匹配/category/dashi，2秒鐘只能訪問2次，超過會封禁。

那么系統(tǒng)會計算我打開/category/dashi/網頁時，有沒有加載含前綴為/category/dashi/的鏈接，如果有，每多一個鏈接，就相當于我多訪問一次，要是有加載超過3個這樣的鏈接，那么相當于我打開鏈接1秒鐘就有超過2次以上的訪問次數了，直接原地被封。

而如果我打開/category/dashi/網頁時，網頁加載的鏈接只有/category/dashi/這一個請求，那么只算一個訪問次數，需要兩秒鐘內刷新/category/dashi/超過兩次才會被封，一般用戶是不會2秒鐘請求超過3次的。