javascript - 从 google reCaptcha v2 中删除手动挑战

Question

与之前的迭代相比，v2 reCaptcha 有一些显着的改进。第一次实现时(顺便说一句，使用 PHP 验证)，它要求我的用户只勾选一个框。然后在提交了几次表单后，它要求用户识别一些图像，然后在提交了几次表单之后，它要求用户验证多个图像挑战。

有谁知道在 google recaptcha API 中完全关闭/禁用手动图像挑战的方法吗？即我希望他们只检查 JS 复选框 - 就像表单完成的前几次一样。

我知道这有点违背了目的，但如果换取更好的用户体验，我准备好处理一些垃圾邮件。

我试过:

• 通过添加 https://www.google.com/recaptcha/api.js?manual_challenge=false 关闭 js (从一些旧的 API 设置中挖掘出这一行)
• https://www.google.com/recaptcha/api.js?fallback=false (替代“真”只是强制非 JS 版本)
• https://www.google.com/recaptcha/api.js?data-type=none (根据他们的 display options 在黑暗中拍摄)

我假设谷歌会监控实现并智能地更改用户界面。在我的例子中，来自同一 IP 地址的许多请求看起来像机器人，因此需要更好的验证。但是，这只是一个用户多次重新提交相同的表单。我想做的是覆盖它以始终使用最低安全性。

Answer 1

Google 的 reCaptcha 假定每次您挑战某人时，您都会怀疑他们是机器人，因此如果他们已经通过了挑战，那么下一个挑战会逐渐变得更难。

因此，只有在您认为某人可能是机器人时才挑战他们，例如他们第一次提交表单时，或者他们未通过您的站点身份验证时。一旦 Google 告诉您该用户是安全的，请相信他们，除非/直到您有理由再次怀疑该用户。

PHP $_SESSION superglobal 可能是您最好的选择，但与所有 session 一样，请确保您遵循最佳实践( session 名称指纹识别、 token 熵、 session 固定攻击、混合不安全和 TLS session 等)

我的处理方式是，当用户第一次成功通过验证码挑战时，不要再挑战他们。

下面的示例基于 Google 在其示例中提供的代码:https://github.com/google/recaptcha/blob/master/examples/example-captcha.php

<?php
if (empty($_SESSION['isCaptchaVerified'])) {
    $recaptcha = new \ReCaptcha\ReCaptcha($secret);
    $resp = $recaptcha->verify($gRecaptchaResponse, $remoteIp);
    if ($resp->isSuccess()) {
        // verified!
        $_SESSION['isCaptchaVerified'] = true;
    } else {
        $errors = $resp->getErrorCodes();
    }
}
...
?>
<form action="/" method="post">
    ...
    <?php if (empty($_SESSION['isCaptchaVerified'])) { ?>
        <script type="text/javascript"
            src="https://www.google.com/recaptcha/api.js?hl=<?php echo $lang; ?>">
        </script>
    <?php } ?>
</form>

这将:

• 检查用户之前是否通过了挑战
• 如果 $_SESSION['isCaptchaVerified'] 未设置或为假，则提出挑战
• 如果 $_SESSION['isCaptchaVerified'] 是真实的，则不提出任何挑战

(请参阅 PHP manual entry on empty()，了解在此上下文中什么是真实的和虚假的)。