Rate Limiting — Protections et contournements
★★★★★
Bypass courants
# Changer l IP via headers (si confiance abusive)
curl -H "X-Forwarded-For: 1.2.3.4" target
curl -H "X-Real-IP: 1.2.3.4" target
# Varier légèrement l URL
/api/login /api/login/ /api/Login
# GraphQL batching (voir fiche GraphQL)
# Comptes/sessions multiples + pool de proxies Bonne implémentation
Rate limiting basé sur plusieurs critères combinés (IP + compte + fingerprint) · Ne jamais faire confiance aux headers X-Forwarded-For sans reverse proxy de confiance · Backoff exponentiel plutôt que blocage binaire