【问题标题】:Captcha for ajax callsajax 调用的验证码
【发布时间】:2012-08-21 21:42:28
【问题描述】:

我们的网站遭到大量垃圾邮件攻击,因此我计划在看到更多垃圾邮件命中时在我们的网站上使用验证码。

但我想知道如何处理 ajax 请求?浏览器在内部对 tomcat 服务器进行了一些 ajax 调用。但是我不能将验证码扔给这些 ajax 请求,因为它们来自浏览器(通过 js)。因此,如果我从验证码检查中排除 ajax 请求,那么我们的网站仍然会通过 ajax 调用向垃圾邮件发送者开放。

请建议我应该用什么方法来有效地处理 ajax 调用。

【问题讨论】:

    标签: ajax captcha


    【解决方案1】:

    让用户一次在一开始就输入验证码。将成功的结果存储在 HTTP 会话中。然后每次调用(AJAX 与否)都应该检查是否执行了 CAPTCHA 测试。

    【讨论】:

    • 但是如果我为会话做一次,那么用户可能会手动打开网站一次,手动正确输入验证码,然后在程序中使用这个列入白名单的会话 id 来发动攻击。这不会解决问题..如果我错了请纠正我?
    • @Harish:只需在其之上实施速率限制。来自同一会话的每秒更多请求 - 再次阻止或请求 CAPTCHA。
    猜你喜欢
    • 2012-04-18
    • 1970-01-01
    • 2011-03-30
    • 1970-01-01
    • 1970-01-01
    • 2013-03-28
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多