【发布时间】:2011-11-10 10:54:18
【问题描述】:
我想使用一个滑块为我的注册构建一个精美且易于使用的验证码,用户可以在该滑块上证明他是一个人类并且没有脚本。
到目前为止,我使用 jQuery UI Slider 实现了滑块,如果值为 100,则会出现提交按钮。看起来不错,我对这种行为感到满意。
但是由于 JS 是由客户端执行的,所以每个人都可以看到我的代码,并且可以通过使用脚本来触发相同的操作。对于脚本,按钮是否可用没有区别。脚本只发布数据来提交表单,我的滑块验证码没用。
我的简单 JS 代码:
$(function() {
$( "#slider" ).slider({
value:0,
min: 0,
max: 100,
step: 50,
slide: function( event, ui ) {
if(ui.value == 100){
$( "#amount" ).val( "human" );
$("#regButton").slideDown();
} else if (ui.value == 50) {
$( "#amount" ).val( "nerd" );
$("#regButton").slideUp();
} else {
$( "#amount" ).val( "script" );
$("#regButton").slideUp();
}
}
});
$("#regButton").hide();
$( "#amount" ).val( "Script" );
});
HTML:
<label for="amount" style="text-align:right;">I'm a:</label>
<input type="text" id="amount" style="border:0; color:#f6931f; font-weight:bold; width: 197px;" />
<div id="slider"></div>
是否有可能构建验证码保护程序?使用服务器端哈希?设置标志?使用精美的用户界面和比输入字母更多的用户体验来存档安全性的做法是什么。
我在服务器端使用带有 Spring MVC 的 Java EE。使用滑块而不是 reCaptcha 会很好。
编辑:我在滑块逻辑中添加了一个哈希值。在开始服务器呈现一个带有注册开始日期的隐藏字段时,服务器基于该日期构建一个 md5-hash。滑块是否移动了一个函数被调用,它读取隐藏字段的值并构建一个 md5-hash,也是。哈希值将被发送到服务器,并在提交注册之前与哈希的服务器值进行比较。不像文本验证码那样省钱,但比什么都不做更有效。
我发现了这个:https://code.google.com/p/slidelock/
你怎么了?这家伙如何构建一个“安全”的滑块?他如何管理服务器端验证和 SALT?脚本编写者破解它是安全的还是更昂贵?
【问题讨论】:
-
链接到一个停放的域
-
谢谢,我加了一个新的。
标签: jquery jquery-ui captcha salt