问题标签 [captcha]

Ok, here is an issue: in the project i'm working on, we can't rely on server-side sessions for any functionality.

The problem is that common captcha solutions from preventing robotic submits require session to store the string to match captcha against.

The question is - is there any way to solve the problem without using sessions? What comes to my mind - is serving hidden form field, containing some hash, along with captcha input field, so that server then can match these two values together. But how can we make this method secure, so that it couldn't be used to break captcha easily.

我关注了此页面，但代码在我的项目中无法正常工作。我试图找到其他关于如何执行我需要的教程，但是，它在我的项目中也不能正常工作。有没有人可以指导我阅读详细解释如何在 CodeIgniter 中正确使用 Captcha 插件的教程？

控制器：

查看：

验证码：

将验证码控件包装在 ap 标签中，如何将其向右移动约 50 像素？

编辑 我正在使用 .net 控件使用 reCaptcha。我的输入元素位于页面右侧约 50 像素处。

我的 repactha 呈现左对齐（一直到左侧，因此与我的其他输入字段相比，对齐是关闭的）。

出于完全非恶意的目的——特别是机器学习，我想下载一个巨大的验证码图像数据集。然而，CAPTCHA 总是使用一些混淆的 javascript 来实现，这使得在没有浏览器的情况下获取实际图像成为一项不平凡的任务，至少对我这个 javascript 新手来说是这样。

那么，任何人都可以给我一些有用的指导，说明如何使用完全在浏览器之外的脚本来下载模糊单词的图像？并且请不要将我指向已经收集的模糊词的数据集 - 我需要从特定网站收集图像以进行此特定实验。

谢谢！

编辑：可以问这个问题的另一种方式非常简单。当您在具有复杂 javascript 的网站上单击“查看源代码”时，您会看到脚本引用，但这就是您所看到的。但是，如果您单击“将网页另存为...”（在 firefox 中）然后查看已保存网页的源代码，则会解析 javascript 并且新的 html 和图像（至少在 ASIRRA 和 reCAPTCHA 的情况下）是在源头。如何使用脚本模仿这种“将网页另存为...”行为？一般来说，这是一个重要的网络编码问题，所以请不要再质疑我的动机了！这是我从现在开始可以在涉及脚本的所有 Web 开发中使用的知识，我相信其他堆栈溢出访问者也可以！

我有一个 HTTPHandler，它会在请求 captcha.ashx 页面时向用户生成验证码图像。它的代码很简单：

然后在我的常规网站上，我得到了以下信息：

这非常有效，只要请求 captcha.ashx 页面，就会生成图像并将其发送回用户。我的问题是 HTTPHandler 不保存会话？我试图从正常页面取回会话，但我只有一个异常说它不存在，所以我打开 Trace 以查看哪些会话处于活动状态并且它没有列出 HTTPHandler 创建的会话（验证码）。

HTTPHandler 使用 IReadOnlySessionState 与会话进行交互。HTTPHandler 是否只有读取权限，因此不存储会话？

有哪些非验证码方法可以阻止我评论中的垃圾邮件？

GMail 可以用作 SMTP 服务器。我已经编写了执行此操作的代码。但众所周知，GMail 有时可能会使用验证码（他们称之为图像验证）进行身份验证。同样的事情可能是拒绝 SMTP 身份验证的原因。

正如我所见，当您第一次尝试从某些机器登录时，谷歌会显示图像验证。从同一台机器（到同一帐户）的所有连续登录都使用常规登录。我有点担心这个验证码也可能因为其他一些我无法控制的原因再次出现。

所以。当需要采取特殊措施时，是否仍然可以进行身份​​验证？如何？

我还应该提到，通过 Web 浏览器从机器登录也可以启用编程 SMTP 身份验证。

我有两个页面 apply.php（登录页面）和 mail.php，这是我一直在处理的在线应用程序项目的大部分代码

我有一个 re-captcha 帐户，但我似乎不明白如何在两页 senerio 上应用 re-captcha 代码。

当我将所有代码放在一页中时，我只需输入“mail();” 代码进入验证码的条件。

但我想我不清楚如何使用验证码作为帖子或不发布页面数据。

如有必要，我可以发布代码，但我只是将验证码视为一个花哨的条件语句我只是困惑如何制作

我公司的 CRM 系统在每次登录时都使用验证码系统，以便利用某些管理功能。原始实现将当前验证码值存储在服务器端会话变量中。

我们现在需要重新开发它以将所有必要的验证码验证信息存储在散列的客户端 cookie 中。这是由于父 IT 策略旨在通过禁止对尚未通过应用程序进行身份验证的用户使用会话来减少开销。因此，不允许身份验证过程本身使用服务器端存储或会话。

这个设计有点集体努力，我对它的整体效果表示怀疑。我的问题是，任何人都可以看到下面显示的实现有任何明显的安全问题吗？它是矫枉过正还是不足？

编辑：进一步的讨论导致了更新的实现，所以我用新版本替换了原始代码并编辑了描述以与此修订版交谈。

（下面的代码是一种伪代码；原文使用了一些特殊的遗留库和结构，使其难以阅读。希望这种风格足够容易理解。）

概念：

1. “session_hash”旨在防止同一个cookie在多台机器上使用，并强制执行一段时间后它变得无效。
2. “session_hash”和“captcha_hash”都有自己的秘密盐密钥。
3. 这些 BASE64_8192BIT_SECRET_A 和 _B salt 密钥是存储在服务器上的 RSA 私钥的一部分。
4. “captcha_hash”用秘密和“session_hash”加盐。
5. 在使用客户端提供的数据的地方添加分隔符，以避免拼接攻击。
6. “captcha_hash”和“session_hash”都存储在客户端cookie中。

编辑：回复：Kobi 感谢您的反馈！

（我会在评论中回复，但它似乎不接受在问题中有效的格式？）

每次他们访问登录页面时，验证码都会被替换；但是，这确实假设他们不会在不重新加载登录表单页面的情况下简单地重新提交。基于会话的实现使用过期时间来避免这个问题。我们也可以向登录页面添加一个随机数，但我们也需要服务器端会话存储。

根据 Kobi 的建议，哈希数据中现在包含过期时间范围，但共识是将其添加到 session_hash 中，因为会话超时很直观。

这种散列一些数据并在该数据中包含另一个散列的想法对我来说似乎是可疑的。是否真的有任何好处，或者我们最好使用包含所有相关数据（时间、IP、用户代理、验证码值和密钥）的单个哈希。在这个实现中，我们基本上是在告诉用户散列明文的一部分。

问题：

1. 有没有明显的不足？
2. 有没有细微的缺陷？
3. 有没有更稳健的方法？
4. 用另一个哈希盐腌制哈希有什么帮助吗？
5. 是否有更简单且同样强大的方法？

新问题：

我个人认为我们最好将其保留为服务器端会话；任何人都可以指出任何文件或文章证明或反驳仅将所有验证数据发送到客户端的固有风险吗？

我可能会以错误的方式解决这个问题

我有一个登陆页面，上面有一个表格。当我发布该页面时， from 的值到达了一个名为 mail.php 的页面

我想在首页添加一个验证码（在本例中为 re-captcha.com），以防止人们向我的求职网站发送垃圾邮件。

我不确定如何使用 php 验证码来防止人们发帖，但我想我可以用它来设置一个布尔变量，我发送到我的 mail.php 页面，它会告诉它天气或不给我发一份工作申请人的电子邮件。

1）如何将变量从一个php页面传递到另一个？

2）有没有更好的方法来使用验证码（我对 php 和 web 编程还是新手，所以我可能会在一个简单的问题上走很长的路）

谢谢