Google 已推出 reCAPTCHA v3。它消除了所有用户摩擦。我希望用它来保护我的网站。但是,我不确定这将如何保护我的网站。如果黑客使用外部工具在我的网站上发送垃圾邮件而不使用我提供的界面怎么办? reCAPTCHA v3 将如何阻止这种情况?
【问题讨论】:
标签: javascript recaptcha verification spam-prevention invisible-recaptcha
reCAPTCHA v3 将如何阻止 [Spam]?
有多种启发式方法可用于检测自动化系统,例如来自某个 IP 的请求数量、浏览器指纹识别、Google 帐户 cookie 等等。谷歌似乎使用其中一些。如果不确定,则会显示挑战。
如果黑客不使用我提供的界面,使用外部工具在我的网站上发送垃圾邮件怎么办?
当客户端通过您必须在服务器端验证的检查时,Google 会为客户端生成一个令牌。如果有人没有通过验证码(机器人),他们就没有令牌。
【讨论】:
除了您网站上的用户行为跟踪(如 Jonas Wilms 所解释的那样),v3(和 v2)还根据您的 IP、ASN、浏览器以及基于这些信息的有关您系统的任何类型的信息做出决策通过您的 HTTP 请求发送。
唯一的区别是 V2 是一个完整的解决方案,也就是说,如果它认为用户可能是机器人,它将带来额外的挑战,直到它确信用户是人类。另一方面,V3 是非侵入式的。它会根据上面讨论的参数生成一个分数并将其传递给您。然后,您将根据此分数决定采取适当的步骤(例如发布挑战,或进行双重身份验证等)。
IMO,如果您想获得更多控制权,最好从 V2 解决方案开始实施 V3,或者如果用户得分较低,则有更好的方式来挑战用户。
(Here 是一篇关于差异的有趣文章)
【讨论】:
简而言之 google 会跟踪您的整个光标和键盘移动,从移动鼠标选择表单字段到按 Tab 更改字段。
验证 reCAPTCHA 是否正常工作 --> 提交表单,然后 点击刷新;它会要求重新提交。单击继续。但是作为 这是一种非常类似于机器人活动,无需任何键盘移动光标即可提交表单,reCAPTCHA 将阻止 表单提交或任何其他事情发生。
【讨论】: