如何在没有验证码的情况下保护联系表格？

Posted 2021-03-27

在我的网站上，我有几种形式，其中某人（没有注册）可以向指定的注册用户发送消息。形式很简单，我想保持这种方式。如果我不想使用任何验证码，保护联系表单的最佳方法是反击垃圾邮件和机器人？

Your message:...
Your e-mail:...
[Send]

答案

所以选项：

1. 最大化查询/ IP
2. 添加安全问题
3. 验证码（即使你不喜欢它）
4. 发送电子邮件以验证它
5. 通过javascript提交数据

详细介绍了这些以及我对它们的看法。

1. 它可以很好地防止发送许多消息，但它们的一些副本仍然可以进入。如果你认为这是可以承受的，这可能会有效。注意：垃圾邮件发送者可以使用代理或dinamic IP，但这可能会很慢。也许考虑不阻止用户，但如果他们发送太多电子邮件则添加验证码。
2. 这究竟是什么？这些是诸如“10 + 1”或“10加1”或“它是哪一天？”之类的问题。他们可能会运作良好 - 如果您的网站只有很少的语言。 Captchas仍然更好，但这种情况很好。
3. 你不喜欢它，但我仍然说它是最好的。添加一个reCAPTCHA并不是那么难，但它会阻止90％的垃圾邮件发送者 - 或更多。但是这有两个问题：1。有时候人类也无法阅读它.2。垃圾邮件发送者可以使用人来解决它的最低限度（例如0.001美元/验证码）数量，有时也可以。但这也代表案例2。
4. 可能很好，但如果垃圾邮件发送者注意到这一点，他们可以生成随机电子邮件地址并通过SMTP验证它。但他们通常会去最容易的目标并离开。
5. 好的，垃圾邮件发送者不能让机器人像点击一样，但他们可以制作代码，使点击不需要。但最简单的目标规则仍然存在。

在我看来，最好的是解决方案3，然后解决方案2，然后是解决方案1，然后是解决方案4和5。

另一答案

在我看来，许多网站（除卖票卖家，谷歌等主要网站以及其他将被定位的网站）可以通过组合使用多种不同的技术来阻止评论/形式垃圾邮件而无需验证码。我最近创建了一个开源php项目，它实现了以下测试，以确定提交是否合法或垃圾邮件。

• 隐藏表单字段 - 如果填写了隐藏表单字段，则表示垃圾邮件
• 时间表提交 - 如果表单填写过快或过慢，这是垃圾邮件的指示
• 网址太多 - 如果评论字段包含太多网址（数字可配置），则表示垃圾邮件
• 鼠标移动 - 如果用户不使用鼠标，则表示垃圾邮件
• 二手键盘 - 如果用户不使用键盘，则表示垃圾邮件
• 验证引用程序 - 如果HTTP引用程序与表单URL不匹配，我们不应接受提交。
• 验证电子邮件 - 如果表单中提供的电子邮件地址从语法角度来看无效，我们不应接受提交。

这是项目的URL。我喜欢上面的Kaii测试，会为phpFormProtect做一个很好的额外测试。 https://github.com/mccarthy/phpFormProtect

另一答案

您可以使用表单键技术保护表单：

1. 向用户显示表单时，只为此单个表单提交生成随机ID（“表单键”）。将表单键存储在会话变量中。在隐藏的输入字段中提交“表单键”。
2. 在提交方面，检查提交的表单密钥与存储在会话变量中的密钥。使用后立即使其无效。 （从会话中删除）

如果没有验证码或类似的东西，就不可能真正保护表格免受滥用。

但是，使用这种技术的恶意垃圾邮件发送者必须这样做

1. 通过HTTP为每个单一表单提交请求表单以获取有效的唯一forkey
2. 解析DOM树/ html代码以获取表单密钥
3. 以正确的格式提交

据我所知，没有自动垃圾邮件联系表单爬虫可以做到这一点。

此技术还可以保护您的表单免受多次提交的提交。

这是一个代码示例：

<?php
session_start();
if (isset($_POST['form_submit'])) {
  // do stuff
  if (isset($_POST['formkey']) && isset($_SESSION['formkeys'][$_POST['formkey']])) {
    echo "valid, doing stuff now ... "; flush();
    // delete formkey from session
    unset($_SESSION['formkeys'][$_POST['formkey']]);
    // release session early - after committing the session data is read-only
    session_write_close();
    // do whatever you like with the form data here
    send_contact_mail($_POST);
  }
  else {
    echo "request invalid or timed out.";
  }
}
else {
  // show form with formkey
  $formkey = md5("foo".microtime().rand(1,999999));
  // put current formkey into list of valid form keys for the user session
  if (!is_array($_SESSION['formkeys']) {
    $_SESSION['formkeys'] = array();
  ]
  $_SESSION['formkeys'][$formkey] = now();
?>
<html>
<head><title>form key</title></head>
<body>
  <form method="POST">
    <input type="hidden" name="PHPSESSID" value="<?=session_id()?>">
    <input type="text" name="formkey" 
      value="<?= $formkey ?>">
    <input type="submit" name="form_submit" value="Contact us!">
  </form>
</body>
</html>
<?php } ?>

另一答案

您可以从IP实施时间限制。因此，如果垃圾邮件机器人试图一次又一次地发送表单（在特定的时间间隔，比如1小时），则应该拒绝该请求。

您必须通过检查和存储用户的IP在服务器端执行此操作。然后，当他们再次发送表单时，检查用户是否已暂时处于被阻止的IP中。

这也是StackOverflow implemented 2年回来的原因。

另一答案

你可以做点什么来证明用户是人。如果你想保持简单，可能是一个问一个数学问题的字段，例如“2 + 5？”。但这不像验证码那么安全。但是，如果可能的垃圾邮件不会让你烦恼，那就可以了。