Sho*_*oyd 4 javascript security recaptcha
基本上,我的客户希望我使用 Google reCaptcha 响应令牌作为用户会话的一部分。
这个想法是,如果客户端从后端请求一些数据(例如图像),我可以获取我保存为会话变量或可能是 cookie 的 reCaptcha 响应令牌,并将其重新提交给 Google https://再次/www.google.com/recaptcha/api/siteverify API 以查看它是否仍然有效。
这可能吗?这样做有意义吗?
基本上,他们试图使用 reCaptcha 来阻止机器人抓取他们的文件。
预先非常感谢
ReCaptcha 禁止使用相同令牌的重放攻击。
令牌限制
每个 reCAPTCHA 用户响应令牌的有效期为两分钟,并且只能验证一次以防止重放攻击。如果您需要新的令牌,可以重新运行 reCAPTCHA 验证。
参考: https: //developers.google.com/recaptcha/docs/verify