HTML表单身份验证,以防止垃圾邮件/ POST攻击

时间:2010-12-15 00:56:25

标签: forms-authentication security http-post

我想知道是否有一个很好的解决方案来阻止自动表单提交/ POST攻击。

是否可以添加带有令牌生成的服务器端的表单字段,该表单字段对于站点上显示的每个表单都是唯一的,但是有一种方法可以检查此令牌是否确实是由我的应用程序生成的,而不是由用户生成的,无需将所有令牌保存到数据库中?

IMO,如果应用程序可以知道数据来自应用程序生成的表单(意味着它使用了应用程序已知的逻辑),那么它将继续处理表单。

是否建议使用此类算法?

编辑:换句话说,我可以生成一个字符串:

1)当我收到回来时,我可以识别为我生成的字符串,

2)知道它只被使用了一次,

3)会在用户端采取太多尝试来生成此类字符串,

4)该字符串不必由应用程序持久化

1 个答案:

答案 0 :(得分:0)

您可能对Hashcash感兴趣。我试图通过多次投票在博客上作弊,但当我看到这种方法让人类产生这些价值时,我放弃了这种方法。