我正在开发一个Web应用程序,并且第一次有一个关于在哪里显示验证码的问题。何处添加验证码?
在我的网站上,我对公众(即未登录)的'联系'页面有Recaptcha,任何人都可以提交问题或反馈。但是,在用户成功登录之后,在会话启动后,是否有必要在同一页面上放置一个Recaptcha?由于网站现在位于,所以如果用户登录,我没有显示Recaptacha。
我已经看到一些网站,即使您已经登录,您必须输入验证码才能提交评论,但这对我来说似乎很奇怪。
感谢您的帮助!
注册
您在您担心垃圾邮件的地方添加了验证码。
即使用户登录后,垃圾邮件仍然是一个有效的担忧。毕竟,我可以轻松创建一个帐户,然后在以该用户身份登录时运行脚本。
但是,您的主要担心可能不会是有针对性的攻击,而是让那些在互联网上搜索简单形式的垃圾邮件的机器人,这是非常常见的。为了击败这种攻击,登录用户不需要验证码,因为这些机器人永远不会是客人。
因此,您必须平衡用户的便利与阻止针对性攻击的威胁。我建议您不要为登录用户使用验证码,直到您变得足够大才能拥有该关注点,但这是您的呼叫,完全取决于您的特定情况。
如果将删除验证用户的验证码的话 - 那么,将有可能通过验证码(手动),并做你想做的(垃圾邮件,是恼人的,等等)。
现在常见的想法是显示captcha每个N的某些特定动作的请求,如发表评论。
或者像stackoverflow一样:它可能会在一段时间内发表评论,之后你会得到一个验证码。
我喜欢关于Gmail的一些内容:如果您遇到一次或多次密码错误,则需要验证码。第一次,没有必要。我认为这是在登录表单中使用captcha的最佳方式。 – 2010-12-20 03:50:01
同意,使注册用户多次通过验证码测试的网站对我来说毫无意义。您也可以在用户通过某个特定点(例如SO上的声誉)时删除验证码,表明他们可信。 – 2010-12-20 03:50:14
@Rafe凯特勒:即使有11k +代表我有时需要填写验证码;-) – zerkms 2010-12-20 03:52:21