如果要從代碼層面防止的話， 只能通過(guò)ip在一段時(shí)間內(nèi)的訪問(wèn)次數(shù)來(lái)限制。
你可以把訪問(wèn)時(shí)間和次數(shù)記錄在session中， 然后跟你自己定的訪問(wèn)限制對(duì)比一下， 如果超過(guò)限制就認(rèn)為是惡意訪問(wèn)。 返回404給他。

nginx的話可以用HttpLimitReqModule
此模塊能通過(guò)特定的客戶端標(biāo)識(shí)（如IP，UA等）來(lái)限制客戶端在一定時(shí)間內(nèi)的訪問(wèn)頻次，比你在程序里控制要省資源得多。