隐形验证码

Question

我使用以下安全性(invisble captcha)为我的网站的表单提交,以防止自动提交:

1. 使用数字x上的固定盐生成md5的结果,并将其作为隐藏字段在表单内呈现
2. 生成2个隐藏字段a和b,其中a + b = x,a和b未加密
3. 提交后,使用javascript添加另一个普通的隐藏字段c,其中c = a + b
4. 在服务器端使用salt在c上应用md5,将其与加密的x进行比较

然而,这样的系统在生产中被破解,一个人能够成功地自动提交数千个表格.知道怎么样？

一种方法是,黑客已经知道操作是+(通过观察javascript很容易找到),读取表单并添加a和b,创建一个带有额外c字段的新表单,其中c = a +湾 他必须首先阅读一份表格,然后创建一份表格.

我的问题是:

1. 我在上面提出的假设是否可能破坏我的系统？
2. 如果是这样,我该怎么做才能防止这种黑客入侵？
3. 黑客可能使用的其他替代黑客有哪些？

我不想使用真正的验证码,因为它会降低用户体验.欢迎所有建议.

Answer 1

或者,黑客可以自己执行您的JavaScript.

如果要验证用户不是机器人,则必须让用户执行机器人无法执行的操作.这真的很简单.