forms - 更好的蜜 jar 实现(形成反垃圾邮件)

Question

How do we get rid of these spambots on our site?

每个网站都会成为 spambots 的受害者在某一点。您的处理方式会影响您的客户，并且大多数解决方案可能会阻止某些人填写您的表单。

这就是蜜 jar 技术的用武之地。它允许您忽略垃圾邮件机器人，而无需强制用户填写验证码或跳过其他环节来填写表单。

这篇文章纯粹是为了帮助其他人在他们的网站表单上实现蜜 jar 陷阱。

<小时/>

更新:

自从在我客户的所有网站上实现以下蜜 jar 以来，我们已成功阻止了99.5%(数千份提交)的所有垃圾邮件。这没有使用“高级”部分中提到的技术，该技术很快就会实现。

Answer 1

概念

通过在表单中​​添加一个只有垃圾邮件机器人才能看到的不可见字段，您可以诱骗他们透露自己是垃圾邮件机器人而不是真正的最终用户。

HTML

<input type="checkbox" name="contact_me_by_fax_only" value="1" style="display:none !important" tabindex="-1" autocomplete="off">

这里我们有一个简单的复选框:

• 通过 CSS 隐藏。
• 有一个不起眼但明显是假的名字。
• 默认值等于 0。
• 无法通过自动完成来填写
• 无法通过 Tab 键导航到。 (参见tabindex)

服务器端

在服务器端，我们要检查该值是否存在并且是否具有非 0 的值，如果是，则进行适当的处​​理。 这包括记录尝试和所有提交的字段。

在 PHP 中，它可能看起来像这样:

$honeypot = FALSE;
if (!empty($_REQUEST['contact_me_by_fax_only']) && (bool) $_REQUEST['contact_me_by_fax_only'] == TRUE) {
    $honeypot = TRUE;
    log_spambot($_REQUEST);
    # treat as spambot
} else {
    # process as normal
}

后备

这就是日志的用武之地。如果您的某个用户最终被标记为垃圾邮件，您的日志将帮助您恢复所有丢失的信息。它还允许您研究在您网站上运行的任何机器人，如果它们将来被修改以绕过您的蜜 jar 。

报告

许多服务允许您通过 API 或上传列表来报告已知的垃圾邮件机器人 IP。 (例如 CloudFlare )请报告您发现的所有垃圾邮件机器人和垃圾邮件 IP，帮助使互联网变得更安全。

高级

如果您确实需要打击更高级的垃圾邮件机器人，您还可以执行一些其他操作:

• 纯粹用JS而不是纯CSS隐藏蜜 jar 字段
• 使用您实际上并不使用的真实表单输入名称。 (例如“电话”或“网站”)
• 在蜜 jar 算法中包含表单验证。 (大多数最终用户只会弄错 1 或 2 个字段；垃圾邮件机器人通常会弄错大部分字段)
• 使用 CloudFlare 等自动阻止已知垃圾邮件 IP 的服务
• 设置表单超时，并防止即时发布。 (页面加载 3 秒内提交的表单通常是垃圾邮件)
• 阻止任何 IP 每秒发布一次以上。
• 欲了解更多想法，请查看此处:How to create a "Nuclear" honeypot to catch form spammers