4

我正在处理的项目是一段静态 HTML,其中包含一些将调用 REST Web 服务的内联 JavaScript,这是我使用 .NET 3.5 WCF 自己创建的。

JavaScript 将从用户那里获取一些详细信息,包括电子邮件地址,然后通过 Ajax 将这些详细信息发送到 Web 服务。然后,Web 服务会将详细信息存储在数据库中。

由于这是一个网络服务,我很确定它是无状态的。

但是,该项目的要求是前端 JavaScript 也应该做一个验证码,以防止垃圾邮件。

该站点本身只会运行几周(最多 6 周),我认为这不足以让任何潜在的攻击者认真考虑关闭该站点。

出于这个原因,我考虑制作一个完全客户端的验证码,因为传统的验证码需要有状态的会话。

但是,我很想知道在无状态环境中通常会实施哪些安全措施,或者是否有人认为我对客户端验证码验证是否足够有误。

4

1 回答 1

1

您甚至可能不需要验证码。许多垃圾邮件客户端太笨了,无法执行 Javascript 之类的东西。您可以尝试将隐藏输入设置为 Javascript 中的某个值。

如果您的网站只上线几周,那么我怀疑有人会建立一个可以解决这个问题的客户端。

也就是说,它会在没有 Javascript 的情况下搞砸用户,所以我建议在屏幕上放置一条 Javascript 删除的消息。这将具有相同的输入字段,但作为带有标签的复选框,说明他们需要检查它以不被忽略。

于 2009-02-16T03:59:15.443 回答