форма регистрации пользователя без капчи?

Я пытался сегодня зарегистрироваться в Твиттере и заметил, что в их регистрационной форме нет капчи. URL формы: https://twitter.com/signup. Я также заметил, что они использовали ввод, как показано ниже.

<input name="authenticity_token" type="hidden" value="ce803cee65a96aaa97bdf75da166599c3adc9ec8" />

что это за метод?

Создают ли они временное значение в своей базе данных, когда пользователь обращается к регистрационной форме? и проверить это, когда пользователь отправит форму?


person Moon    schedule 09.05.2010    source источник
comment
Это называется защитой от CSRF и не имеет ничего общего с капчами. Мы можем имитировать поведение пользователя и удаленно зарегистрироваться, отправив два последовательных HTTP-запроса: извлечь токен из результата первого и объединить его с данными POST последнего.   -  person sepehr    schedule 01.09.2012


Ответы (2)



Я не могу сказать наверняка, но я знаю, что некоторые люди использовали Javascript для динамических действий, т. е. для установки скрытого ввода в какое-то случайное, но ожидаемое значение. Это работает на основе предположения, что большинство автоматизированных клиентов не будут анализировать Javascript.

person Matthew Scharley    schedule 09.05.2010