关于CAPTCHA:我建议不要使用CAPTCHAs,除非你真的需要它.为什么?
>这很丑陋
这对你的用户来说很烦人.你不应该让他们跳过箍来使用你的网站.
有一些替代方案非常简单,可以非常有效,对(几乎所有)用户都是完全透明的.
>蜜罐字段:使用通用名称(如“网站”)为表单添加一个字段.除此之外,添加一个标签,说明“不要写在这个框中”的内容.使用Javascript隐藏输入和标签.收到表单提交时,如果该字段中有任何内容,请拒绝输入.
拥有JS的用户将看不到它,并且会很好.没有JS的用户只需遵循简单的说明. Spambots会为它而下降并显露自己.
自动人机识别系统:与上述类似.添加一个标签为“Write ‘Alex'”的输入字段(例如).使用Javascript(并且知道大多数自动化的垃圾邮件机器人将不会运行JS),隐藏该字段并使用“Alex”填充.如果提交的表单没有魔术字,则忽略它.
拥有JS的用户将看不到它,并且会很好.没有JS的用户只需遵循简单的说明. Spambots不知道该怎么做,你可以忽略他们的意见.
这将保护您免受垃圾邮件机器人自动化的99.9%.它不会做什么,即使在最轻微的,是保护你反对有针对性的攻击.有人可以自定义他们的机器人,以避免蜜罐或总是填写正确的值.
关于暴力阻止:服务器端解决方案是唯一可行的方法.对于我目前的一个项目,我实施了一个非常类似于你所描述的强力保护系统.这是基于这个Brute Force Protection plugin的CakePHP.
该算法相当简单,但最初有点混乱.
>用户请求一些动作(例如,重置密码)
>运行:DELETE * FROM brute_force WHERE expires
>运行:
SELECT COUNT(*) FROM brute_force
WHERE action = 'passwordReset'
AND ip =
>如果计数大于X,则告诉他们等待一段时间.
>否则,运行:
INSERT INTO brute_force (ip, action, expires)
VALUES (, 'passwordReset', NOW() + Y minutes)
>继续重设密码功能.
这将允许用户仅在Y分钟内尝试重新设置密码X次.按照您的看法调整这些值. 5分钟内可能有3次复位?此外,您可以为每个操作设置不同的值:对于某些事物(例如:生成PDF),您可能希望在10分钟内将其限制为10.