如何有效防止短信轰炸/恶意点击手机短信验证码？

一 、易遭恶意使用的场景或网站
1) 网络在线投票站（需要填写手机号码进行校验）；
2) 用户在线注册页面（包含手机短信验证功能）；
3) 手机短信动态密码登录。
 
二、 恶意点击手机短信验证码的途径
借助软件来频繁请求获取验证码的链接，因软件会全天候自动运行，所以造成的危害会很大。
 
三 、防止用户恶意点击手机短信验证码的手段
用户恶意点击手机短信验证码，不仅会增加公司的运营成本，也会给公司的形象造成极坏的影响（一般短信都会带公司的签名），所以必须要对这种行为进行防范，目前，防范的手段主要有以下几个方面：
1) 短信发送间隔设置——设置同一号码重复发送的时间间隔，一般设置为60-120秒；
2) IP限定——根据自己的业务特点，设置每个IP每天的最大发送量；
3) 手机号码限定——根据业务特点，设置每个手机号码每天的最大发送量；
4) 流程限定——将手机短信验证和用户名密码设置分成两个步骤，用户在设置成功用户名密码后，下一步才进行手机短信验证，并且需要在获取第一步成功的回执之后才可进行校验；
5) 绑定图型校验码——将图形校验码和手机验证码进行绑定，这样能比较有效的防止软件恶意注册。
 
什么是短信轰炸？短信炸弹？
短信轰炸、短信炸弹，是指通过恶意程序，利用从各个网站上找到的动态短 URL （比如验证码发送的URL)和 前端输入的被攻击者手机号码,发送 HTTP 请求,每次请求给用户发送一个动态的短信（比如验证码短信）。 最终的效果，就是朝许多无关的手机用户，发送很多验证码短信。导致手机用户被骚扰。
 
图片验证码为什么能防范短信轰炸？
恶意攻击者采用恶意工具,调用"动态验证码短信获取"接口进行动态短信发送, 究其原因是攻击者可以自动对接口进行大量调用。
采用图片验证码可有效防止恶意工具的自动化调用,即当用户进行"动态验证码短信发送" 操作前, 弹出图片验证码,要求用户输入验证码后,服务器端再发送动态短信到 用户手机上,该方法可有效解决被利用实施炸弹攻击的问题。
安全的图片验证码必须满足: 生成过程安全:图片验证码必须在服务器端进行产生与校验; 使用过程安全:单次有效,且以用户的验证请求为准; 验证码自身安全:不易被识别工具识别,能有效防止暴力破解。