如何在没有验证码的情况下保护联系表格?
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如何在没有验证码的情况下保护联系表格?相关的知识,希望对你有一定的参考价值。
在我的网站上,我有几种形式,其中某人(没有注册)可以向指定的注册用户发送消息。形式很简单,我想保持这种方式。如果我不想使用任何验证码,保护联系表单的最佳方法是反击垃圾邮件和机器人?
Your message:...
Your e-mail:...
[Send]
所以选项:
- 最大化查询/ IP
- 添加安全问题
- 验证码(即使你不喜欢它)
- 发送电子邮件以验证它
- 通过javascript提交数据
详细介绍了这些以及我对它们的看法。
- 它可以很好地防止发送许多消息,但它们的一些副本仍然可以进入。如果你认为这是可以承受的,这可能会有效。注意:垃圾邮件发送者可以使用代理或dinamic IP,但这可能会很慢。也许考虑不阻止用户,但如果他们发送太多电子邮件则添加验证码。
- 这究竟是什么?这些是诸如“10 + 1”或“10加1”或“它是哪一天?”之类的问题。他们可能会运作良好 - 如果您的网站只有很少的语言。 Captchas仍然更好,但这种情况很好。
- 你不喜欢它,但我仍然说它是最好的。添加一个reCAPTCHA并不是那么难,但它会阻止90%的垃圾邮件发送者 - 或更多。但是这有两个问题:1。有时候人类也无法阅读它.2。垃圾邮件发送者可以使用人来解决它的最低限度(例如0.001美元/验证码)数量,有时也可以。但这也代表案例2。
- 可能很好,但如果垃圾邮件发送者注意到这一点,他们可以生成随机电子邮件地址并通过SMTP验证它。但他们通常会去最容易的目标并离开。
- 好的,垃圾邮件发送者不能让机器人像点击一样,但他们可以制作代码,使点击不需要。但最简单的目标规则仍然存在。
在我看来,最好的是解决方案3,然后解决方案2,然后是解决方案1,然后是解决方案4和5。
在我看来,许多网站(除卖票卖家,谷歌等主要网站以及其他将被定位的网站)可以通过组合使用多种不同的技术来阻止评论/形式垃圾邮件而无需验证码。我最近创建了一个开源php项目,它实现了以下测试,以确定提交是否合法或垃圾邮件。
- 隐藏表单字段 - 如果填写了隐藏表单字段,则表示垃圾邮件
- 时间表提交 - 如果表单填写过快或过慢,这是垃圾邮件的指示
- 网址太多 - 如果评论字段包含太多网址(数字可配置),则表示垃圾邮件
- 鼠标移动 - 如果用户不使用鼠标,则表示垃圾邮件
- 二手键盘 - 如果用户不使用键盘,则表示垃圾邮件
- 验证引用程序 - 如果HTTP引用程序与表单URL不匹配,我们不应接受提交。
- 验证电子邮件 - 如果表单中提供的电子邮件地址从语法角度来看无效,我们不应接受提交。
这是项目的URL。我喜欢上面的Kaii测试,会为phpFormProtect做一个很好的额外测试。 https://github.com/mccarthy/phpFormProtect
您可以使用表单键技术保护表单:
- 向用户显示表单时,只为此单个表单提交生成随机ID(“表单键”)。将表单键存储在会话变量中。在隐藏的输入字段中提交“表单键”。
- 在提交方面,检查提交的表单密钥与存储在会话变量中的密钥。使用后立即使其无效。 (从会话中删除)
如果没有验证码或类似的东西,就不可能真正保护表格免受滥用。
但是,使用这种技术的恶意垃圾邮件发送者必须这样做
- 通过HTTP为每个单一表单提交请求表单以获取有效的唯一forkey
- 解析DOM树/ html代码以获取表单密钥
- 以正确的格式提交
据我所知,没有自动垃圾邮件联系表单爬虫可以做到这一点。
此技术还可以保护您的表单免受多次提交的提交。
这是一个代码示例:
<?php
session_start();
if (isset($_POST['form_submit'])) {
// do stuff
if (isset($_POST['formkey']) && isset($_SESSION['formkeys'][$_POST['formkey']])) {
echo "valid, doing stuff now ... "; flush();
// delete formkey from session
unset($_SESSION['formkeys'][$_POST['formkey']]);
// release session early - after committing the session data is read-only
session_write_close();
// do whatever you like with the form data here
send_contact_mail($_POST);
}
else {
echo "request invalid or timed out.";
}
}
else {
// show form with formkey
$formkey = md5("foo".microtime().rand(1,999999));
// put current formkey into list of valid form keys for the user session
if (!is_array($_SESSION['formkeys']) {
$_SESSION['formkeys'] = array();
]
$_SESSION['formkeys'][$formkey] = now();
?>
<html>
<head><title>form key</title></head>
<body>
<form method="POST">
<input type="hidden" name="PHPSESSID" value="<?=session_id()?>">
<input type="text" name="formkey"
value="<?= $formkey ?>">
<input type="submit" name="form_submit" value="Contact us!">
</form>
</body>
</html>
<?php } ?>
您可以从IP实施时间限制。因此,如果垃圾邮件机器人试图一次又一次地发送表单(在特定的时间间隔,比如1小时),则应该拒绝该请求。
您必须通过检查和存储用户的IP在服务器端执行此操作。然后,当他们再次发送表单时,检查用户是否已暂时处于被阻止的IP中。
这也是StackOverflow implemented 2年回来的原因。
你可以做点什么来证明用户是人。如果你想保持简单,可能是一个问一个数学问题的字段,例如“2 + 5?”。但这不像验证码那么安全。但是,如果可能的垃圾邮件不会让你烦恼,那就可以了。
以上是关于如何在没有验证码的情况下保护联系表格?的主要内容,如果未能解决你的问题,请参考以下文章
如何在不使用身份验证的情况下保护 RESTful Web 服务