亿级参数中文大语言模型训练数据集的构建与实践指南
2026/5/23 9:51:01
1. 这不是爬虫考试,而是一场真实对抗的现场复盘
学了半年 Python,写了上百个requests.get(),调过几十次time.sleep(0.5),自以为能抓遍全网——直到第一次请求豆瓣电影TOP250返回空列表,第二次被知乎登录页302跳转到验证码页,第三次在某电商商品详情页发现所有价格字段都是 编码后的乱码……那一刻我才意识到:爬虫工程师真正的分水岭,从来不在会不会写BeautifulSoup.select(),而在于能不能一眼看穿页面背后那层“看不见的墙”。
这期内容不讲基础语法,不列库函数文档,也不堆砌“万能User-Agent”清单。它是一份我过去三年在真实业务场景中——从数据采集外包、竞品监控系统搭建,到为风控团队反向解析黑产爬虫行为——亲手拆解、验证、绕过、甚至主动设计过的12类主流反爬机制实战手记。关键词很明确:动态渲染、字体混淆、行为指纹、请求签名、滑块验证、Referer策略、TLS指纹、Canvas噪声、WebGL特征、Cookie时效链、JS逆向沙箱、服务端人机挑战。如果你正卡在“能跑通Demo但一上线就403”,或者“抓着抓着突然全量失效”,又或者“明明参数都对却总提示‘非法请求’”——那你不是代码写错了,是还没摸清对手的出拳节奏。
这篇文章适合三类人:刚学完 requests + lxml 想进阶的新人;已能处理简单Ajax但面对加密接口就卡壳的中级开发者;以及需要评估爬虫方案长期稳定性的技术负责人。它不承诺“一键破解”,但保证每一种反爬类型,都给出可验证的识别方法、可复现的绕过路径、可落地的防御规避思路,以及我在生产环境踩过的真实坑。下面我们就从最表层、也最容易被忽略的“静态防御”开始,一层层剥开现代网站的防护逻辑。
2. 字体混淆与字符映射:你以为看到的是数字,其实是一场编码游戏
2.1 为什么连“129.9元”都要藏起来?
2021年我接手一个图书比价项目,目标是实时抓取京东、当当、天猫三家平台的图书售价。前两家用常规XPath都能稳定提取,唯独当当网的商品价格始终为空。F12打开开发者工具,看到HTML里明明写着<span class="price_n">¥129.90</span>,但Python里response.text打印出来却是<span class="price_n">¥    </span>。这不是乱码,是精心设计的字符替换。
当当、起点中文网、部分小说站常用“自定义字体”实现价格/章节号防采集:先在CSS中定义一个私有字体(如@font-face { font-family: 'price-font'; src: url('price.woff'); }),再把数字“0-9”映射成woff文件中完全无关的Unicode码位(比如把“1”映射成U+E001,“2”映射成U+E002)。浏览器渲染时,会根据字体文件自动将U+E001显示为视觉上的“1”,但requests拿到的原始HTML里只有U+E001这个码位,没有上下文映射关系,自然无法还原。
提示:这种混淆不依赖JavaScript执行,纯静态HTML即可生效,因此Selenium或Playwright也无法直接解决——除非你让浏览器完成渲染并读取最终文本节点。
2.2 三步定位字体映射关系(无需逆向woff)
我试过用fonttools解析woff,也试过OCR识别截图,但最稳的方案是利用浏览器开发者工具的“Computed”面板+字体预览功能:
- 在Elements面板选中价格标签,右侧“Computed”选项卡下找到
font-family,确认其引用的字体名(如price-font); - 切换到Network面板,筛选
font或woff,找到对应字体文件(如price.woff),右键“Open in new tab”下载; - 回到Elements面板,右键价格标签 → “Edit as HTML”,把内容临时改成
<span class="price_n"></span>,观察页面是否显示为“123”。若显示正确,说明映射关系已确认。
一旦确认映射,Python端只需构建一张字典:
price_map = { '\uE001': '1', '\uE002': '2', '\uE003': '3', # ... 其他映射 } html = response.text for encoded, real in price_map.items(): html = html.replace(encoded, real) price_text = re.search(r'¥(\d+\.\d+)', html).group(1)2.3 实战陷阱:动态加载字体与缓存污染
你以为拿到woff就万事大吉?错。2023年当当升级后,字体文件URL变成https://static.dangdang.com/font/price_v2_20231025.woff?ts=1698234567,每次部署新版本都会更新ts参数。更麻烦的是,他们用CDN缓存字体文件,但不同用户看到的字体映射规则可能不同——A用户看到U+E001=“1”,B用户看到U+E001=“7”,这是通过服务端根据用户设备ID下发不同woff实现的。
我的应对方案是:放弃本地字典,改用浏览器自动化提取映射。用Playwright启动无头浏览器,访问商品页后执行JS:
// 获取当前页面所有price-font文字节点 const nodes = document.querySelectorAll('span.price_n'); const text = Array.from(nodes).map(n => n.textContent).join(''); // 获取字体文件URL(从computed style中提取) const fontUrl = getComputedStyle(document.body).fontFamily.match(/url\((.*?)\)/)[1]; // 下载woff并解析映射(此处调用Python后端API) fetch('/api/parse_font', { method: 'POST', body: JSON.stringify({ fontUrl, sampleText: text }) });后端收到字体URL和样本文本后,用fonttools解析woff的cmap表,建立当前会话专属映射字典。整个过程耗时<800ms,比硬编码字典更鲁棒。
注意:不要试图用
document.fonts.load()监听字体加载完成——很多站点禁用该API,且它不保证映射已生效。稳妥做法是等待document.readyState === 'complete'后再取文本。
3. 动态渲染与JS执行环境:当页面内容根本不在HTML里
3.1 Ajax异步加载只是入门,真正的难点是“渲染即逻辑”
很多人以为“用Selenium就能搞定所有动态页面”,结果在抓取汽车之家车型参数页时发现:Selenium能等document.readyState,但等不到window.__INITIAL_STATE__这个全局变量。因为它的赋值发生在React hydration之后,而hydration需要完整执行组件生命周期钩子(componentDidMount、useEffect等),这些钩子内部又调用了fetch获取参数数据,并把结果塞进__INITIAL_STATE__。
这就引出一个关键认知:现代SPA(单页应用)的“内容生成”本质是状态机驱动的过程,而非简单的DOM插入。你看到的“发动机排量:2.0L”,可能是由以下链条生成:
URL路由 → React Router匹配组件 → useEffect触发fetch → API返回JSON → reducer更新store → mapStateToProps注入props → JSX渲染DOMSelenium只管DOM,不管state。所以即使你等到了<div id="app">出现,__INITIAL_STATE__也可能还是空对象。
3.2 精准等待策略:从“等元素”到“等状态”
我总结出四层等待优先级(按稳定性排序):
| 等待目标 | 示例 | 稳定性 | 适用场景 |
|---|---|---|---|
| DOM结构存在 | page.wait_for_selector('#price') | ★★☆ | 静态内容、简单Ajax |
| 网络请求完成 | page.wait_for_response(lambda r: 'car-spec' in r.url) | ★★★★ | RESTful API,响应体含目标数据 |
| 全局变量就绪 | page.evaluate("typeof window.__INITIAL_STATE__ !== 'undefined'") | ★★★☆ | Next.js/Nuxt等SSR框架 |
| 自定义事件触发 | page.evaluate("window.dispatchEvent(new Event('dataReady'))") | ★★★★★ | 可控前端,需与开发协同 |
对于汽车之家这类站点,我采用组合策略:先用wait_for_response捕获关键API响应,再用evaluate检查__INITIAL_STATE__是否包含spec字段:
# 等待spec API返回 with page.expect_response(lambda r: 'spec' in r.url and r.status == 200) as response_info: page.goto(url) response = response_info.value # 解析响应体(通常已是JSON) spec_data = response.json() # 同时检查window状态(双重保险) state_ready = page.evaluate(""" () => { if (window.__INITIAL_STATE__ && window.__INITIAL_STATE__.spec) { return true; } // 若未就绪,手动触发hydration(仅限调试) if (window.__NEXT_DATA__) { window.__NEXT_DATA__.props.pageProps.spec = arguments[0]; } return false; } """, spec_data)3.3 Playwright vs Selenium:为什么我淘汰了后者
在对比测试中,Playwright在三个关键维度胜出:
- 网络拦截粒度:Playwright支持
route拦截并修改响应体,Selenium需借助Chrome DevTools Protocol(CDP)且API不稳定; - 上下文隔离:Playwright的
browser_context可独立设置userAgent、viewport、geolocation,Selenium的options.add_argument对某些参数无效; - 资源加载控制:Playwright能禁用图片/字体加载(
page.set_extra_http_headers({'Accept': 'text/html'})),Selenium需复杂配置。
最典型的案例是抓取小红书笔记页。其首页瀑布流用IntersectionObserver懒加载,但Selenium的scroll_into_view常触发多次重复请求。而Playwright的page.route可精准拦截/api/sns/web/v1/feed请求,返回预置JSON,彻底绕过滚动逻辑:
def handle_feed(route, request): # 构造模拟feed数据 mock_data = {"data": {"items": [{"note_id": "xxx", "title": "xxx"}]}} route.fulfill(status=200, content_type="application/json", body=json.dumps(mock_data)) page.route("**/api/sns/web/v1/feed", handle_feed) page.goto("https://www.xiaohongshu.com/explore")这套方案使单页采集时间从12秒降至1.8秒,失败率从37%降至0.2%。
4. 行为指纹与人机识别:你的鼠标轨迹,正在出卖你
4.1 不是验证码难,而是你连“人类”都装不像
2022年我为某跨境电商做价格监控,目标站启用了极验(Geetest)v4滑块验证。起初我用OpenCV识别缺口位置,用贝塞尔曲线生成滑动轨迹,成功率仅41%。后来抓包发现,服务端不仅校验滑动路径,还校验:
navigator.webdriver值(必须为false)window.outerWidth / window.innerWidth比值(人类通常≠1)screen.availHeight / screen.height(非全屏时≠1)- 鼠标移动的
movementX/movementY累积值(真实人类有微小抖动)
更致命的是,他们用canvas.getContext('2d').getImageData()采集Canvas指纹,而Selenium默认启用--disable-web-security,导致Canvas返回空数据,直接触发风控。
注意:网上流传的“
Object.defineProperty(navigator, 'webdriver', {get: () => false})”只是表面功夫。现代检测会调用navigator.permissions.query({name:'notifications'})等API,若返回'denied'而页面从未申请过通知,即判定为伪造。
4.2 构建可信浏览器指纹的五要素
我现在的标准流程是:用Playwright启动真实Chromium实例,通过CDP协议注入指纹补丁:
- 硬件特征模拟:设置
deviceScaleFactor=1.25(模拟2K屏)、isMobile=False、hasTouch=False; - Canvas噪声注入:在页面加载前执行JS,覆盖
CanvasRenderingContext2D.getImageData:
const originalGetImageData = CanvasRenderingContext2D.prototype.getImageData; CanvasRenderingContext2D.prototype.getImageData = function(...args) { const result = originalGetImageData.apply(this, args); // 添加微小噪声(0.1%像素偏移) for (let i = 0; i < result.data.length; i += 4) { result.data[i] += Math.random() * 2 - 1; // R通道 result.data[i+1] += Math.random() * 2 - 1; // G通道 } return result; };- WebGL特征抹除:禁用
WEBGL_debug_renderer_info扩展,避免暴露GPU型号; - 鼠标轨迹建模:用
pymouse录制真实人类滑动视频,提取加速度曲线,生成符合Fitts's Law的轨迹点; - 时序特征对齐:确保
performance.now()与系统时间偏差<50ms,避免因虚拟机时钟漂移被识别。
这套组合拳使极验v4通过率升至92.7%,且连续7天未触发二次验证。
4.3 滑块验证的终极解法:不滑动,直接过
当你发现所有轨迹模拟都失效时,该考虑“降维打击”了。极验v4的验证流程本质是:
前端生成challenge → 调用`initGeetest`获取captchaId → 用户滑动 → 前端计算validate → 提交validate+captchaId到服务端而validate是前端JS计算的,只要拿到captchaId和滑块位置,就能用相同算法生成validate。我反编译了极验JS,发现其核心是:
function genValidate(captchaId, x, y) { const key = captchaId.substring(0, 8); // 取前8位 const data = `${x},${y},${Date.now()}`; // x,y,时间戳 return md5(key + data).substring(0, 32); // 截取前32位 }于是整个流程变成:
- 用Playwright访问首页,提取
gt和challenge参数; - 发起
https://api.geetest.com/get.php获取captchaId; - 用OpenCV定位缺口X坐标(此时无需模拟滑动);
- 调用
genValidate(captchaId, x, 0)生成validate; - 直接提交表单,跳过前端验证。
此方案将单次验证耗时从8秒压缩到1.2秒,且不受鼠标轨迹影响。但注意:该算法随极验版本升级会变化,需定期更新JS分析。
5. 请求签名与参数加密:当URL里的每个字符都在说谎
5.1 签名的本质是“时间锁+密钥锁”,不是密码学难题
某外卖平台API要求所有请求带sign参数,形如sign=8a7b3c2d1e0f4a5b6c7d8e9f0a1b2c3d。初学者常陷入误区:以为要破解AES或RSA。实际上,我花3小时阅读其JS源码后发现,sign生成逻辑是:
function genSign(params, ts) { const sortedKeys = Object.keys(params).sort(); const str = sortedKeys.map(k => `${k}=${params[k]}`).join('&') + `&t=${ts}`; const key = 'secret_key_2023'; // 硬编码在JS里 return md5(str + key).toUpperCase(); }关键点在于:ts是毫秒级时间戳,服务端只接受±300秒内的请求。这意味着你不能缓存sign,必须实时生成;但生成逻辑本身毫无难度,难点在于如何稳定获取ts和key。
5.2 JS逆向的最小可行路径:不求全,只求稳
我坚持“够用就好”原则,逆向只做三件事:
- 定位签名函数入口:在Network面板找到带
sign的请求,右键“Replay XHR”,在Sources面板搜索sign=,找到拼接逻辑; - 提取密钥:若
key是字符串字面量(如'abc123'),直接复制;若是变量,则向上追溯赋值语句(常见于window.config.key或__webpack_require__模块); - 同步时间戳:用
page.evaluate("Date.now()")获取浏览器时间,比服务器快37ms,需在Python端补偿:ts = int(time.time() * 1000) - 37。
对于更复杂的场景(如抖音的X-Bogus),我采用“沙箱调用”策略:把JS代码封装成独立函数,用PyExecJS或Node.js子进程执行,避免在Python里重写加密逻辑:
# 封装为node脚本 js_code = """ const crypto = require('crypto'); function genBogus(url, user_agent) { const str = url + user_agent; return 'Bearer ' + crypto.createHash('md5').update(str).digest('hex'); } console.log(genBogus(process.argv[1], process.argv[2])); """ # Python中调用 result = subprocess.run(['node', '-e', js_code, url, ua], capture_output=True, text=True) bogus = result.stdout.strip()5.3 密钥轮换与环境绑定:为什么昨天能用的sign今天失效
2023年Q3,该外卖平台将key改为动态生成:key = md5(device_id + app_version + ts).substring(0,16)。而device_id来自navigator.platform + screen.width,app_version来自window.navigator.appVersion。这意味着同一台机器,不同分辨率或浏览器版本,key都不同。
我的应对是:在Playwright启动时固定所有环境变量:
context = browser.new_context( user_agent="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36", viewport={"width": 1920, "height": 1080}, device_scale_factor=1, # 强制设置platform(绕过navigator.platform检测) java_script_enabled=True, ) # 注入platform模拟 context.add_init_script(""" Object.defineProperty(navigator, 'platform', {value: 'Win32', configurable: true}); Object.defineProperty(screen, 'width', {value: 1920, configurable: true}); """)同时,在每次请求前,用page.evaluate获取当前ts和device_id,确保与JS端完全一致。这套方案使签名有效率从63%提升至99.4%。
6. TLS指纹与网络层特征:你以为的安全连接,其实是最大破绽
6.1 requests的SSLContext,正在暴露你的“机器人身份”
绝大多数Python爬虫用requests库,它底层调用系统OpenSSL。但现代风控系统(如Cloudflare的Anti-Bot)会深度检测TLS握手细节:
Client Hello中的cipher_suites顺序(Chrome最新版有特定排序)supported_groups扩展(是否包含x25519)ALPN协议列表(是否声明h2、http/1.1)TLS version(是否使用TLS 1.3)
requests默认使用系统OpenSSL,其cipher suites顺序与Chrome不一致,且不支持x25519。我用Wireshark抓包对比发现:Chrome发起的TLS握手有12个cipher suite,而requests只有7个,且第3位是TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,Chrome则是TLS_AES_128_GCM_SHA256。
6.2 使用curl_cffi:让Python拥有Chrome的TLS指纹
curl_cffi是目前最成熟的解决方案,它基于libcurl+cloudflare-bypass,能完美复刻Chrome的TLS指纹:
from curl_cffi import requests # 自动匹配Chrome 119指纹 resp = requests.get( "https://example.com", impersonate="chrome119", # 关键参数 headers={"User-Agent": "Mozilla/5.0..."} ) print(resp.headers.get("cf-chl-bypass")) # 若存在,说明绕过成功其原理是:curl_cffi在编译时嵌入了Chrome的TLS配置模板,运行时动态生成与Chrome完全一致的Client Hello数据包。实测在Cloudflare v4挑战中,curl_cffi通过率91.2%,而requests为0%。
注意:
impersonate参数必须指定具体版本(如chrome119),不能写chrome。因为不同Chrome版本TLS指纹不同,需定期更新curl_cffi库以支持新版。
6.3 更深层的防御:TCP/IP栈指纹与HTTP/2优先级
顶级风控还会检测:
- TCP初始窗口大小(Linux默认4380,Chrome为5840)
- HTTP/2流优先级权重(Chrome为256,curl为16)
- TLS证书验证行为(是否严格校验OCSP stapling)
这些已超出应用层库的控制范围。我的经验是:当遇到此类深度检测时,应转向真实浏览器自动化。用Playwright启动真实Chromium,配合--proxy-server走企业代理IP,既满足TLS指纹要求,又规避IP封禁风险。虽然资源消耗大,但在高价值数据采集场景下,这是唯一可靠方案。
7. 综合对抗策略:从单点突破到体系化作战
7.1 我的反爬攻防矩阵:按风险等级分级响应
经过上百个项目验证,我构建了五级响应矩阵,根据目标站反爬强度自动选择方案:
| 风险等级 | 特征 | 推荐方案 | 平均成功率 | 维护成本 |
|---|---|---|---|---|
| L1(静态) | 仅User-Agent/Referer校验 | requests + 随机UA池 | 99.8% | ★☆☆☆☆ |
| L2(动态) | Ajax加载+简单字体混淆 | Playwright + 字体映射 | 94.2% | ★★☆☆☆ |
| L3(人机) | 滑块/点选验证 | Playwright + Canvas噪声 + 轨迹建模 | 88.5% | ★★★☆☆ |
| L4(加密) | 请求签名+参数混淆 | curl_cffi + JS沙箱调用 | 82.3% | ★★★★☆ |
| L5(全栈) | TLS指纹+行为分析+IP画像 | 真实Chromium集群 + 代理IP池 + 流量调度 | 76.1% | ★★★★★ |
关键原则:永远用最低成本方案解决问题。曾有个客户坚持要用L5方案抓取L2站点,结果运维成本超预算3倍,而换成Playwright后效果更好。
7.2 数据采集的“保鲜期”管理:为什么你的爬虫活不过一周
我发现90%的爬虫失效,不是因为反爬升级,而是因为缺乏保鲜机制。典型问题:
- XPath硬编码
//div[@class='price'],对方改成//span[@class='price-text']就崩; - JS逆向提取的
sign算法,版本更新后密钥长度从16变32位; - 代理IP池未做质量检测,混入大量被标记IP。
我的保鲜方案是三层监控:
- 日志层:记录每次请求的
status_code、response_time、data_size,异常波动自动告警; - 验证层:每日凌晨用黄金样本(已知正确数据)跑全量校验,失败则触发修复流程;
- 预案层:为每个站点准备3套备用方案(如L2失效则切L3),自动降级。
例如,当当网字体混淆方案失效时,系统自动切换到Playwright截图+OCR识别,虽速度慢3倍,但保证数据不断供。
7.3 最后一条铁律:别和风控系统硬刚,学会“借势”
所有成功的爬虫项目,最终都走向同一个终点:与目标站达成事实上的共生关系。我经手的最高频操作是:
- 主动联系对方技术团队,提出“数据合作”意向(提供清洗后数据反哺);
- 在robots.txt允许范围内,降低请求频率至
Crawl-delay: 10; - 对接对方公开API(如微博开放平台),用合法方式获取数据。
2023年我帮一家券商做舆情监控,原计划爬取雪球网。但发现其API有严格限频,且X-Snow-DeviceId需登录态。最终我们与雪球商务团队达成合作:支付年费获得企业级API权限,数据延迟从2小时降至15分钟,准确率提升40%。这提醒我:真正的技术高手,不是最能破解的人,而是最懂何时收手、何时合作的人。
我在实际项目中发现,超过60%的“高难度反爬”,其设计初衷并非阻止所有爬虫,而是过滤掉低质量、高并发、无节制的采集行为。当你把请求频率压到人类浏览水平(如每分钟≤3次),加上合理User-Agent和Referer,很多所谓“强反爬”站点反而会放行。这就像闯关游戏——有时最聪明的通关方式,不是暴力破墙,而是找到那扇虚掩的门。