- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
我经营一个游戏网站,所以我有很多用户登录,他们可以每两分钟做一次某些事情。
我在某些地方有一个 CAPTCHA 系统,对于某些东西,它总是要求输入代码,而对于其他东西,它会每 10 分钟询问一次。
我有一些玩家在 Opera 上使用自动提交功能,我的验证码系统确实阻止了他们。
我的问题是,如何才能最大限度地减少请求代码的次数,同时又能阻止人们使用此自动提交功能?
最佳答案
如果我理解正确的话,这个任务不需要验证码。我假设您想查看用户是否确实点击了自己,坐在他的 PC 前。
新想法
在您的表单上提交多个图像:
<input type="image" name="send1" src="buttons.php?i=1" />
...
<input type="image" name="send8" src="buttons.php?i=8" />
生成表单时,获取 1 到 8 之间的随机数并将其保存在 $_SESSION['submitnumber']
中.创建两个相同大小的图像 - 一个空白填充表单中的默认背景,另一个看起来像提交按钮。创建将使用以下代码输出图像的 buttons.php:
header("Content-Type: image/jpeg");
flush();
readfile($filename);
如果 $_GET[i]!=$_SESSION['submitnumber']
返回空图像否则返回提交图像。
如果单击了正确的图像提交,则接受表单(当用户单击按钮时,浏览器将向您发送坐标,如 send1X)
这是一种验证码,但人们不会知道 ;)
老想法
你需要两件事:
1 为非常独特的表单生成 token 。
放<input type="hidden" name="timertoken" value="someweirdstring" />
并生成“someweirdstring”作为一些(用户名和时间)依赖的东西的 md5 散列。我可以对此进行详细说明,但这是用于安全和 CSRF 攻击阻止的基本形式 token 。 token 在发布后得到验证。
例子:
这不是 token 机制的典型实现,但足够了。
$token=generatesomerandomtext();
$_SESSION['token']=$token;
//... somewhere later when outputing forms:
echo '<input type="hidden" name="token" value="'.$token.'" />';
//and when it comes back:
if($_POST['token']==$_SESSION['token']) {
//it's ok
}
这就是您所需要的。这个简单的示例为每个页面创建一个唯一的标记并放入表单中。它不依赖于时间,也不使用 md5,但将 token 存储在 session 中。要自动发送可以接受的表格,此人必须使用您生成的表格或复制 token 。
真实形式的 token 示例更像这样: $token=md5($username.'some secret text'.$date.$timeRoundedTo10Minutes);
//... somewhere later when outputing forms:
echo '<input type="hidden" name="token" value="'.$token.'" />';
//and when it comes back:
if(
($_POST['token']==md5($username.'some secret text'.$date.$timeRoundedTo10Minutes)) ||
($_POST['token']==md5($username.'some secret text'.$date.$timeRoundedTo10Minutes-10minutes)) ) {
//it's ok
}
为什么是用户名?因为它消除了使用一个用户的 token 来攻击另一个用户的可能性为什么要 secret 文本(称为“盐”)?因为有人可以将其他用户的名字与时间粘在一起并执行 md5,但他不能猜盐。为什么要进行两次比较?因为如果现在是 22:44:59 - token 是在 22:40 生成的,如果用户发送它是 22:45:30,所以它会四舍五入到 22:50,并且只有当你将它收回 10 分钟时它才与 token 匹配.
这就是一个基本示例。有关引用,请参阅 this问题。
2 将您的提交按钮更改为 <input type="image" ...
因为它发布了单击按钮的位置的 x 和 y 坐标。我不知道是谁在规范中提出了这个,但这是第一次可以使用! :)
现在看看用户是否点击了自己 你只需要看看坐标是否存在(经典提交不会发送它们)并阻止简单的黑客攻击你也可以记住玩家 session 中的最后一个 x 和 y 并进行比较.破解它以每次发送不同的坐标要困难得多。
表单标记用于防止用户准备带有随机字段的您的表单副本,这些字段会模拟点击坐标。如果 token 每次都更改,则很难覆盖表单字段。
这仍然可以通过用户脚本功能进行破解,但要困难得多。而且,如果您每小时添加一次验证码,没有人会费心编写只能在一个小时内提供帮助并在此之后中断的脚本(并且需要一些努力和知识)。
关于PHP 验证码 CAPTCHA,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2599815/
我在网上找到了这个很棒的小代码,但它似乎没有在正确删除空格后比较两个字符串?我知道一些js,但这里的任何错误都超出了我的理解范围。希望有人知道这个问题的答案。 注意:它似乎还根据 channel 的数
如何使用 requirejs 导入 recaptcha。我已经尝试了几件事,但没有任何效果。 我需要这样做,以便能够在加载后使用 reCaptcha 的渲染方法自行渲染它。 require.confi
我可以做些什么来尝试解决之前一直有效但现在在尝试访问 javascript 文件时返回 404 的重新验证码问题。 我不认为这是编码问题,因为他们今天下午就起来了。 值得一提的是,我的两个使用 re-
好的,我们在生产中实现了 Recaptcha。我们收到错误是因为它无法到达使用该服务所需的 IP 地址。我们为 IP 地址打开一个端口以到达 Google。没问题。我们这样做并显式配置该 IP 地址以
我正在使用 Robot Framework + Selenium2Library 为 Web 编写验收测试。关键是 web 包含一些我无法自动化的输入字段 (CAPTCHA),并且我无法告诉我的供应商
我正在尝试实现验证码。我正在使用 jquery (ajax) 调用验证脚本 (http://www.google.com/recaptcha/api/verify)。这将数据类型限制为 JSONP,G
我在站点中使用 scrapy 提交表单 https://www.barefootstudent.com/jobs (任何进入页面的链接等http://www.barefootstudent.com/l
我经营一个游戏网站,所以我有很多用户登录,他们可以每两分钟做一次某些事情。 我在某些地方有一个 CAPTCHA 系统,对于某些东西,它总是要求输入代码,而对于其他东西,它会每 10 分钟询问一次。 我
thinkphp中的验证码是可以直接调用的,非常方便,我们看一下 Think 文件夹下 有一个名为verify.class.php的文件 首先 我们要有一个模
我正在实现一个在注册表单上带有验证码的网站;我的第一次。我已经阅读了数十篇关于支持和反对论点以及所有各种实现的帖子。我对这一切很满意,但对我来说这是必要的邪恶。 我不明白的是为什么人们会在整个网络上的
我正在使用 Sitecore 8 update 3,目前我向 WFFM 表单添加了验证码并按下音频,但显示错误如下: [ArgumentNullException: Value cannot be n
我正在对我已经完成的网络系统部分进行一小部分升级,其中之一是确保我的 Google reCaptcha 的安全性正确。 目前,我使用此代码: //reCaptcha $Url = "https://w
我正在对我已经完成的网络系统部分进行一小部分升级,其中之一是确保我的 Google reCaptcha 的安全性正确。 目前,我使用此代码: //reCaptcha $Url = "https://w
我对制作 3D 验证码很感兴趣,我让它使用一种字体,如下所示: import string from matplotlib.font_manager import findSystemFonts im
大家。我是jquery初学者,想请教几个问题。 我正在为表单提交测试编写一个简单的数学验证码,我想每次按下“重置按钮”时生成一组新的随机数。 但是当我用谷歌搜索解决方案时,大多数人都在尝试重新加载页面
我的网站上有一个验证码,我认为样式被其他一些 css 覆盖了,正如您在下面的验证码底部看到的那样,它有点偏离.. 在 firebug 中发现 CSS 覆盖的最佳方法是什么?已经看了一段时间了,似乎无法
我在 Google Play 上有一个 PNR 查询应用程序。它工作得很好。但最近 Indian Railwys 在他们的 PNR 查询部分添加了验证码,因此我无法将正确的数据传递到服务器以获得正确的
我被指派为 joomla 中的自定义组件创建验证码验证,但我不知道如何正确地完成它。 我知道有许多可用的验证码插件,例如 recaptcha,但我需要使用公司创建的自定义验证码。 它在 session
本文实例讲述了php/JS实现的生成随机密码(验证码)功能。分享给大家供大家参考,具体如下: PHP写法: ?
我正在关注关于电话授权的 React Native firebase 文档 ( https://rnfirebase.io/docs/v5.x.x/auth/phone-auth ),并且对是否需要(
我是一名优秀的程序员,十分优秀!