use*_*552 3 security brute-force recaptcha
我正在实施谷歌 reCaptcha。在 Google 文档中,他们说了这样做的方法。该文档建议对验证码进行服务器端验证。我想知道为什么我们需要在服务器端验证它,因为它已经在谷歌服务器的 UI 端验证过了。是否建议单独在 UI 端实现验证码而不在服务器中进行验证?如果单独在 UI 中完成,有什么问题(如果有的话)。
小智 6
一个例子是:您正在创建一个注册表并希望阻止机器人在您的网站上创建一个帐户,您需要在服务器端验证它,因为在后台您发送的请求将如下所示:
POST /register 1.1 HTTP
Host: www.example.com
{"username":"example","email:"hey@gmail.de","captcha-token":"123984f729340fmu2q34f9"}
如果您不随请求发送验证码令牌,或者服务器未对其进行验证,则该机器人可能只是向该请求发送垃圾邮件,而无需加载前端页面。请记住,机器人不会访问您的“用户界面”(前端页面)。只需验证服务器端的所有内容,如文本长度、坏字符、速率限制......