我经营一个游戏网站,所以我有很多用户登录,他们可以每两分钟做一次。
我有一个CAPTCHA系统,有些东西它总是要求代码,而对于其他东西,它会每10分钟询问一次。
我让一些玩家在Opera上使用自动提交功能,而我的CAPTCHA系统确实阻止了它们。
我的问题是,如何最大程度地减少我要求代码的次数,但仍然阻止人们使用此自动提交?
答案 0 :(得分:6)
如果我理解正确,此任务不需要验证码。 我想你想看看用户是否点击了自己,坐在他的电脑前。
新主意
在您的表单上放置多个图片提交:
<input type="image" name="send1" src="buttons.php?i=1" />
...
<input type="image" name="send8" src="buttons.php?i=8" />
生成表单时获取1到8之间的随机数并将其保存在$_SESSION['submitnumber']
中。
创建两个相同大小的图像 - 一个空填充表单中的默认背景,另一个看起来像提交按钮。
创建将使用以下代码输出图像的buttons.php:
header("Content-Type: image/jpeg");
flush();
readfile($filename);
如果$_GET[i]!=$_SESSION['submitnumber']
或其他人返回提交图片,则返回空图像。
如果点击了正确的图像提交,则接受表格(当用户点击按钮时,浏览器会向你发送像send1X这样的坐标)
这是一种验证码,但人们不会知道;)
旧观念
你需要两件事:
1 为非常独特的表单生成令牌。
放<input type="hidden" name="timertoken" value="someweirdstring" />
并生成“someweirdstring”作为某些(用户名和时间)的md5哈希 - 依赖的东西。我可以详细说明这一点,但这是安全和CSRF攻击阻止的基本形式标记。发布后验证令牌。
示例:
这是不令牌机制的典型实现,但它就足够了。
$token=generatesomerandomtext();
$_SESSION['token']=$token;
//... somewhere later when outputing forms:
echo '<input type="hidden" name="token" value="'.$token.'" />';
//and when it comes back:
if($_POST['token']==$_SESSION['token']) {
//it's ok
}
这就是你需要的一切。 这个简单的示例为每个页面创建一个唯一的标记并放入表单。它不依赖于时间而且不使用md5,但将令牌存储在会话中。要自动发送可接受的表单,此人必须使用您生成或复制令牌的表单。
真正的表单令牌示例更像是这样的: $ token = md5($ username.ome secret text'。$ date。$ timeRoundedTo10Minutes);
//... somewhere later when outputing forms:
echo '<input type="hidden" name="token" value="'.$token.'" />';
//and when it comes back:
if(
($_POST['token']==md5($username.'some secret text'.$date.$timeRoundedTo10Minutes)) ||
($_POST['token']==md5($username.'some secret text'.$date.$timeRoundedTo10Minutes-10minutes)) ) {
//it's ok
}
为什么是用户名?因为它消除了使用一个用户的令牌来破解另一个用户的可能性 为什么要保密文字(称为'盐')?因为有人可以随着时间的推移将其他用户的名字粘在一起并做md5,但是没有猜测他不能的盐。 为什么两个比较?因为如果现在是22:44:59 - 令牌是以22:40生成的,如果用户发送它的时间是22:45:30,那么它会四舍五入到22:50并且仅当你将它取回10分钟时才匹配令牌
这是一个基本的例子。有关参考,请参阅this问题。
2 将提交按钮更改为<input type="image" ...
,因为它会发布点击按钮的位置的x和y坐标。我不知道是谁在规范中提出这个问题,但这是第一次使用它! :)
现在看看用户是否点击了自己你只需看看坐标是否存在(经典提交不会发送它们)并阻止简单的黑客攻击你还可以记住玩家会话中的最后一个x和y并进行比较。每次发送不同的coords都很难破解它。
表单令牌用于防止用户使用模拟点击坐标的随机字段准备您的表单副本。如果每次难以覆盖表单字段时令牌都会更改。
这仍然受到用户脚本功能的破坏,但它更难。如果您在一小时内添加了一次验证码,那么没有人会费心去编写脚本,这些脚本只能帮助一小时并在此之后休息(需要一些努力和知识)。
答案 1 :(得分:3)
根据您收到的数据,您可以收集呼叫者是用户的事件。如果呼叫者似乎是机器人,则只询问CAPTCHA。
Evidents可以是: