短信验证码被刷常见防范策略

1、网站或者APP注册页面添加个隐藏的[input]，value为随机验证码(保存在session)，短信发送前验证一下，保证在当前页面点击。

2、加检测逻辑，屏蔽非手机号的乱码等无效数字。

3、前端加好校验码（图形验证或二次确认）防机器人批量刷，下图是几种常见的图文验证码，可以结合自身平台特点进行选择。

4、设置验证码时效性-数据库保存生成的验证码时间，表单提交时，判断该验证码是否正确（是否在表中存在同时验证码是否失效，一般是五分钟内失效）。

5、同号码请求次数限制，根据业务的需要，设置每个手机号码每天的最大发送量。

6、频率限制-同一号码重复发送的时间间隔，建议设置为60-120秒。

7、场景流程限定——将手机短信验证和用户名密码设置分成两个步骤，用户在设置成功用户名密码后，下一步才进行手机短信验证，并且需要在获取第一步成功的回执之后才可进行校验。

8、IP限定——根据自己的业务特点，设置每个IP每天的最大发送量。

9、传输https加密。