我已经阅读了很多关于垃圾邮件预防的内容,这是一个明显的解决方案,不断被建议:
使用令牌并将其放入会话中 并将其添加到表单中。如果 令牌未随表单一起提交 或者不匹配则自动化 并且可以忽略。
来源:https://webmasters.stackexchange.com/questions/3588/how-do-spambots-work
这基本上是为了保护自己免受CSRF的影响。
所以我的问题是,spambots完全依赖于融合CSRF的方法吗?他们是否真的发送重复的POST请求而没有实际请求页面弄清楚表单中嵌入的隐藏令牌是什么?这看起来几乎可疑太容易停止,我持怀疑态度。任何人都有这方面的具体信息吗?
答案 0 :(得分:1)
想象一下访问随机网址的抓取工具,如果它看到表单,则填充并提交。在这种情况下,只要在页面加载时生成令牌,就会自动接受令牌。
所以,作为一个额外的防守 - 放置强硬的CAPTCHA。