如何在没有验证码的情况下保护联系表格?

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如何在没有验证码的情况下保护联系表格?相关的知识,希望对你有一定的参考价值。

在我的网站上,我有几种形式,其中某人(没有注册)可以向指定的注册用户发送消息。形式很简单,我想保持这种方式。如果我不想使用任何验证码,保护联系表单的最佳方法是反击垃圾邮件和机器人?

Your message:...
Your e-mail:...
[Send]
答案

所以选项:

  1. 最大化查询/ IP
  2. 添加安全问题
  3. 验证码(即使你不喜欢它)
  4. 发送电子邮件以验证它
  5. 通过javascript提交数据

详细介绍了这些以及我对它们的看法。

  1. 它可以很好地防止发送许多消息,但它们的一些副本仍然可以进入。如果你认为这是可以承受的,这可能会有效。注意:垃圾邮件发送者可以使用代理或dinamic IP,但这可能会很慢。也许考虑不阻止用户,但如果他们发送太多电子邮件则添加验证码。
  2. 这究竟是什么?这些是诸如“10 + 1”或“10加1”或“它是哪一天?”之类的问题。他们可能会运作良好 - 如果您的网站只有很少的语言。 Captchas仍然更好,但这种情况很好。
  3. 你不喜欢它,但我仍然说它是最好的。添加一个reCAPTCHA并不是那么难,但它会阻止90%的垃圾邮件发送者 - 或更多。但是这有两个问题:1。有时候人类也无法阅读它.2。垃圾邮件发送者可以使用人来解决它的最低限度(例如0.001美元/验证码)数量,有时也可以。但这也代表案例2。
  4. 可能很好,但如果垃圾邮件发送者注意到这一点,他们可以生成随机电子邮件地址并通过SMTP验证它。但他们通常会去最容易的目标并离开。
  5. 好的,垃圾邮件发送者不能让机器人像点击一样,但他们可以制作代码,使点击不需要。但最简单的目标规则仍然存在。

在我看来,最好的是解决方案3,然后解决方案2,然后是解决方案1,然后是解决方案4和5。

另一答案

在我看来,许多网站(除卖票卖家,谷歌等主要网站以及其他将被定位的网站)可以通过组合使用多种不同的技术来阻止评论/形式垃圾邮件而无需验证码。我最近创建了一个开源php项目,它实现了以下测试,以确定提交是否合法或垃圾邮件。

  • 隐藏表单字段 - 如果填写了隐藏表单字段,则表示垃圾邮件
  • 时间表提交 - 如果表单填写过快或过慢,这是垃圾邮件的指示
  • 网址太多 - 如果评论字段包含太多网址(数字可配置),则表示垃圾邮件
  • 鼠标移动 - 如果用户不使用鼠标,则表示垃圾邮件
  • 二手键盘 - 如果用户不使用键盘,则表示垃圾邮件
  • 验证引用程序 - 如果HTTP引用程序与表单URL不匹配,我们不应接受提交。
  • 验证电子邮件 - 如果表单中提供的电子邮件地址从语法角度来看无效,我们不应接受提交。

这是项目的URL。我喜欢上面的Kaii测试,会为phpFormProtect做一个很好的额外测试。 https://github.com/mccarthy/phpFormProtect

另一答案

您可以使用表单键技术保护表单:

  1. 向用户显示表单时,只为此单个表单提交生成随机ID(“表单键”)。将表单键存储在会话变量中。在隐藏的输入字段中提交“表单键”。
  2. 在提交方面,检查提交的表单密钥与存储在会话变量中的密钥。使用后立即使其无效。 (从会话中删除)

如果没有验证码或类似的东西,就不可能真正保护表格免受滥用。

但是,使用这种技术的恶意垃圾邮件发送者必须这样做

  1. 通过HTTP为每个单一表单提交请求表单以获取有效的唯一forkey
  2. 解析DOM树/ html代码以获取表单密钥
  3. 以正确的格式提交

据我所知,没有自动垃圾邮件联系表单爬虫可以做到这一点。

此技术还可以保护您的表单免受多次提交的提交。

这是一个代码示例:

<?php
session_start();
if (isset($_POST['form_submit'])) {
  // do stuff
  if (isset($_POST['formkey']) && isset($_SESSION['formkeys'][$_POST['formkey']])) {
    echo "valid, doing stuff now ... "; flush();
    // delete formkey from session
    unset($_SESSION['formkeys'][$_POST['formkey']]);
    // release session early - after committing the session data is read-only
    session_write_close();
    // do whatever you like with the form data here
    send_contact_mail($_POST);
  }
  else {
    echo "request invalid or timed out.";
  }
}
else {
  // show form with formkey
  $formkey = md5("foo".microtime().rand(1,999999));
  // put current formkey into list of valid form keys for the user session
  if (!is_array($_SESSION['formkeys']) {
    $_SESSION['formkeys'] = array();
  ]
  $_SESSION['formkeys'][$formkey] = now();
?>
<html>
<head><title>form key</title></head>
<body>
  <form method="POST">
    <input type="hidden" name="PHPSESSID" value="<?=session_id()?>">
    <input type="text" name="formkey" 
      value="<?= $formkey ?>">
    <input type="submit" name="form_submit" value="Contact us!">
  </form>
</body>
</html>
<?php } ?>
另一答案

您可以从IP实施时间限制。因此,如果垃圾邮件机器人试图一次又一次地发送表单(在特定的时间间隔,比如1小时),则应该拒绝该请求。

您必须通过检查和存储用户的IP在服务器端执行此操作。然后,当他们再次发送表单时,检查用户是否已暂时处于被阻止的IP中。

这也是StackOverflow implemented 2年回来的原因。

另一答案

你可以做点什么来证明用户是人。如果你想保持简单,可能是一个问一个数学问题的字段,例如“2 + 5?”。但这不像验证码那么安全。但是,如果可能的垃圾邮件不会让你烦恼,那就可以了。

以上是关于如何在没有验证码的情况下保护联系表格?的主要内容,如果未能解决你的问题,请参考以下文章

在没有验证码的情况下优化垃圾邮件

如何在不使用身份验证的情况下保护 RESTful Web 服务

如何在不经过注册用户身份验证的情况下保护公共API请求

如何在不单击的情况下显示片段

在没有 Firebase 身份验证的情况下保护 Firebase 数据库

PHP算式验证码和汉字验证码的实现方法