我第一次开发了一个Web应用程序,并对显示验证码的位置有疑问。
在我的网站上,我公开了Recaptcha(即未登录)的“联系”页面,任何人都可以提交问题或反馈。但是,在用户成功登录后,会话已启动,是否需要在同一页面上安装Recaptcha?由于网站现在坐着,如果用户登录,我没有显示Recaptacha。
我见过一些网站即使您已登录,也必须输入验证码才能提交评论,但这对我来说似乎有点奇怪。
感谢您的帮助!
注册
答案 0 :(得分:2)
如果您将删除已验证用户的验证码 - 那么可以通过验证码(手动)并执行您想要的任何操作(垃圾邮件,烦人等)。
现在的常见想法是显示某些特定操作的每个N'请求的验证码,例如发表评论。
或者像stackoverflow那样:在某个时间间隔内可能会有一些评论,之后您将获得验证码。
答案 1 :(得分:0)
您将验证码放在您关注垃圾邮件的地方。
即使在用户登录后,垃圾邮件仍可能是一个有效的问题。毕竟,我可以轻松创建一个帐户,然后在以该用户身份登录时运行脚本。
然而,您的主要担心可能不是针对性攻击,而是因为机器人会在互联网上搜索简单的垃圾邮件形式,这种情况非常常见。为了打败这种攻击,登录用户不需要验证码,因为这些机器人永远不会是客人。
因此,您必须平衡用户便利性并阻止针对目标攻击的威胁。我建议不要为登录用户打扰验证码,直到你变得足够大以至于有这个问题,但这是你的电话,完全取决于你的具体情况。