做爬虫、自动化任务或者接口测试的人,多少都遇到过脚本跑着跑着IP就被封了的情况。尤其是面对一些反爬机制严格的网站,刚发几个请求就返回403,甚至账号直接被限制。其实,很多封禁并不是因为功能违法,而是触发了平台的风控规则。掌握一些防封技巧,能让你的脚本更稳定、更持久。
模拟真实用户行为
机器最明显的特征就是“太规律”。人类操作有延迟、有随机性,而脚本往往是秒级并发、固定间隔请求。解决这个问题,最简单的办法是加入随机等待。
import time
import random
# 随机休眠1到3秒
time.sleep(random.uniform(1, 3))这个小改动能让请求节奏看起来更自然,避免被识别为自动化工具。
合理使用请求头(User-Agent)
每次请求都用同一个User-Agent,等于在告诉服务器:“我是机器人”。建议维护一个User-Agent池,每次请求随机切换。
user_agents = [
'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36',
'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36',
'Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36'
]
headers = {
'User-Agent': random.choice(user_agents),
'Accept-Language': 'zh-CN,zh;q=0.9',
'Referer': 'https://www.example.com/'
}加上Referer和Accept-Language,进一步贴近真实浏览器环境。
避免高频请求,控制并发量
短时间内发起大量请求是最容易被封的方式。比如每秒打20个接口,不出三分钟IP就进黑名单。合理做法是根据目标站点的响应情况动态调整频率,宁可慢一点,也要稳。
可以设置一个基础间隔,再根据返回状态码动态调整。比如收到429(Too Many Requests),立刻退避30秒再试。
使用代理IP轮换
单个IP干太多活,迟早出事。解决方案是用代理池,每次请求换一个出口IP。市面上有免费代理,但不稳定;付费的高匿代理质量更高,适合长期运行的脚本。
proxies = {
'http': 'http://123.45.67.89:8080',
'https': 'http://123.45.67.89:8080'
}
requests.get(url, proxies=proxies, headers=headers)注意选择支持HTTPS的高匿代理,避免中间人泄露数据。
避免登录态滥用
如果脚本涉及登录账号,别拿主号去冒险。用小号操作,且不要频繁切换账号或异地登录。Cookie管理要细致,定期清理无效会话,防止因异常登录行为被系统标记。
有些平台对设备指纹也敏感,同一账号在不同“设备”间跳转,容易触发二次验证。可以用Puppeteer或Playwright这类工具模拟完整浏览器环境,但资源消耗更大,需权衡利弊。
处理验证码要灵活
一旦遇到验证码,硬冲基本没戏。简单图形验证码可以用OCR识别,复杂点的建议接入打码平台,或者干脆暂停任务,人工介入。全自动破解不仅成本高,还可能触碰法律红线。
更重要的是,在脚本逻辑里设置验证码检测机制,发现页面返回验证码时自动降速或切换IP,而不是一味重试。
日志监控与自动恢复
脚本跑在后台,不能一断就完。加一层异常捕获和重试机制,记录关键日志,比如请求失败、IP被封、验证码出现等事件。
try:
response = requests.get(url, headers=headers, timeout=10)
if response.status_code == 403:
print('IP可能被封,切换代理')
switch_proxy()
except Exception as e:
print(f'请求失败: {e}')
time.sleep(10)配合简单的报警通知,比如微信推送或邮件提醒,能第一时间发现问题。
写脚本不是为了对抗系统,而是让工具更好地服务需求。合理的防封策略,核心是“低调、缓慢、真实”。越像普通人操作,活得就越久。