Rate limiting — ограничение числа запросов от одного клиента (IP, API key) в единицу времени. Защита от DDoS, brute-force, abuse. Стандартные реализации: token bucket (nginx limit_req), leaky bucket (API gateways), sliding window (Redis sorted sets). Ответ — HTTP 429 + Retry-After header.
Бесплатный онлайн-инструмент — сканер безопасности сайта: результат мгновенно, без регистрации.
Rate limiting — ограничение числа запросов от одного клиента (IP, API key) в единицу времени. Защита от DDoS, brute-force, abuse. Стандартные реализации: token bucket (nginx limit_req), leaky bucket (API gateways), sliding window (Redis sorted sets). Ответ — HTTP 429 + Retry-After header.
Rate limiting в Nginx можно настроить с помощью модуля limit_req. Например, чтобы ограничить количество запросов от одного клиента до 100 в минуту, можно использовать следующую конфигурацию:
limit_req_zone $binary_remote_addr zone=one_client:10m rate=100r/m; Затем нужно применить это ограничение к нужным локациям с помощью директивы limit_req. Например:
location / { limit_req zone=one_client burst=10 nodelay;Redis может быть использован для реализации Rate limiting с помощью скользящего окна (sliding window). Это позволяет отслеживать количество запросов от клиента за определённый период времени.
Для этого можно использовать команду SET для установки ключа с временем жизни и значением, равным количеству запросов. Например:
SET user:request:count:$client_id $request_count EX $window_seconds Затем, при каждом новом запросе, можно проверять количество запросов за период и принимать решение о разрешении или запрете запроса.
Существует несколько методов реализации Rate limiting, каждый из которых имеет свои преимущества и недостатки.
Выбор метода зависит от конкретных требований и целей.
Инструмент проверяет HTTP-заголовки безопасности, конфигурацию SSL/TLS, утечки серверной информации и защиту от распространённых атак (XSS, clickjacking, MIMEsniffing). Оценка от A до F показывает общий уровень защиты.
Проверка Content-Security-Policy, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy и других.
Версия TLS, срок сертификата, цепочка доверия, поддержка HSTS.
Поиск раскрытых серверных версий, debug-режимов, открытых конфигов и директорий.
Детальный отчёт с объяснением каждой проблемы и конкретными шагами для исправления.
аудит HTTP-заголовков
проверка конфигурации
CSP и HSTS настройка
соответствие стандартам
Strict-Transport-Security.Server: Apache/2.4.52 помогает атакующим подобрать эксплойт. Скройте версию.DENY или SAMEORIGIN.nosniff браузер может интерпретировать файлы неправильно (MIME sniffing).Content-Security-Policy-Report-Only, мониторьте нарушения, затем включите.Server, X-Powered-By, X-AspNet-Version из ответов.История security-проверок и мониторинг HTTP-заголовков безопасности.
Зарегистрироваться (FREE)См. определение выше. Большинство веб-проектов с trafic > 100 RPS нуждается.
Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.