JS Captcha中的联系人表单验证以避免垃圾邮件机器人

Question

我正在寻找关于如何防弹的意见，他的captcha系统，以避免垃圾邮件的联系形式。

表单提交通过ajax。

• 所以我用javascript生成了2个随机数。
• 这些数字的总和必须是正确的。
• 在表单提交时，我验证输入和和。
• 如果一切都是正确的，我将发送表单数据和结果的两个数字。
• 在后端，必须接收三个数字，它们的和必须匹配，否则出了问题。

问题是，这个系统是否足够好以避免垃圾邮件机器人？任何其他的想法也是受欢迎的。

注意:请避免推荐google，因为部门老板不想执行它。

Answer 1

这是一个很弱的captcha，一般不是一个好的解决方案。

1. 它排除未启用JavaScript的合法用户。公平地说，这是非常少，但仍然不是零。如果有这个联系表格是必要的符合法律，你应该仔细考虑这样的无障碍问题。
2. 它不会阻止运行JavaScript的机器人。浏览器自动化变得非常简单，因此您应该假设许多机器人将像普通用户一样执行所有JS。
3. 数字不一定是随机的。我可以记录一组数字，并在任意多个请求中重用它们。请注意，tripe (0，0，0)将是一个有效的数字组合，所以我可以硬编码，如果我想垃圾邮件您的网站特别。

从根本上讲，这种验证方法的问题在于它完全依赖于您无法信任的客户端提供的数据。相反，captchas通常使用一个问题响应系统:服务器以一个独特的问题挑战客户端。这个问题对人类来说应该是容易的，但对机器人来说应该是困难的。

然而，挑战响应系统仍然可以很容易地通过将挑战委托给真正的人类来规避，而机器人则会自动运行。因此，任何captcha系统只能限制您的垃圾邮件，但绝不能完全阻止它。