我目前正在实施Google的reCAPTCHA v3以保护表单。通常,此方法的工作方式是,当用户提交表单时,会生成用户响应令牌并将其传递给后端,然后,后端将令牌转发给Google的验证API以获得评估。
我发现,对于某些攻击,用户响应令牌丢失了,因为攻击者直接将其POST请求提交给我的网站,而不是使用表单。这很好,因为很明显它们应该被拒绝。但是我想知道是否会失败,是否应该继续向Google提交无令牌验证请求。
我之所以这样问,是因为我的理解是reCAPTCHA会随着时间的推移收集有关我的网站活动的信息,并使用它来微调他们的评估。我不知道这是怎么做的,所以即使我已经知道结果如何,我也不知道行使验证API是否有用。