Как запретить роботам автоматически заполнять форму?

Что делать, если - бот вообще не находит form?

3 примера:

1. Вставьте форму с помощью AJAX

• Если у вас все в порядке с пользователями, у которых отключен JS и которые не могут просматривать / отправлять форму, вы можете уведомить их и сначала включить Javascript с помощью оператора noscript:

<noscript>
  <p class="error">
    ERROR: The form could not be loaded. Please enable JavaScript in your browser to fully enjoy our services.
  </p>
</noscript>

• Создайте form.html и поместите свой form внутри элемента <div id="formContainer">.

• Внутри страницы, где вам нужно вызвать эту форму, используйте пустой <div id="dynamicForm"></div> и этот jQuery: $("#dynamicForm").load("form.html #formContainer");

2. Создайте свою форму полностью с помощью JS

// THE FORM
var $form = $("<form/>", {
  appendTo : $("#formContainer"),
  class    : "myForm",
  submit   : AJAXSubmitForm
});

// EMAIL INPUT
$("<input/>",{
  name        : "Email", // Needed for serialization
  placeholder : "Your Email",
  appendTo    : $form,
  on          : {        // Yes, the jQuery's on() Method 
    input : function() {
      console.log( this.value );
    }
  }
});

// MESSAGE TEXTAREA
$("<textarea/>",{
  name        : "Message", // Needed for serialization
  placeholder : "Your message",
  appendTo    : $form
});

// SUBMIT BUTTON
$("<input/>",{
  type        : "submit",
  value       : "Send",
  name        : "submit",
  appendTo    : $form
});

function AJAXSubmitForm(event) {
  event.preventDefault(); // Prevent Default Form Submission
  // do AJAX instead:
  var serializedData = $(this).serialize();
  alert( serializedData );
  $.ajax({
    url: '/mail.php',
    type: "POST",
    data: serializedData,
    success: function (data) {
      // log the data sent back from PHP
      console.log( data );
    }
  });
}

.myForm input,
.myForm textarea{
  font: 14px/1 sans-serif;
  box-sizing: border-box;
  display:block;
  width:100%;
  padding: 8px;
  margin-bottom:12px;
}
.myForm textarea{
  resize: vertical;
  min-height: 120px;
}

<script src="https://ajax.googleapis.com/ajax/libs/jquery/2.1.1/jquery.min.js"></script>
<div id="formContainer"></div>

3. Бот-приманка ввод

• Боты любят (действительно нравятся) дерзкие элементы ввода, например:

<input 
  type="text"
  name="email"
  id="email"
  placeholder="Your email"
  autocomplete="nope"
  tabindex="-1"

They wll be happy to enter some value such as
`[email protected]`

• После использования приведенного выше HTML вы также можете использовать CSS, чтобы не отображать ввод:

input[name=email]{ /* bait input */
  /* do not use display:none or visibility:hidden
     that will not fool the bot*/
  position:absolute;
  left:-2000px;
}

• Теперь, когда ваш ввод не виден пользователю, ожидайте в PHP, что ваш $_POST["email"] должен быть пустым (без какого-либо значения)! В противном случае не отправляйте форму.
• Наконец, все, что вам нужно сделать, это создать другой ввод, например <input name="sender" type="text" placeholder="Your email"> после (!) ввод bot-bait для фактического адреса электронной почты пользователя.

Благодарности:

Developer.Mozilla - отключение автозаполнения форм
StackOverflow - игнорировать Tabindex

Что я сделал, так это использовал скрытое поле и поместил на него метку времени, а затем сравнил ее с меткой времени на сервере с помощью PHP.

Если это было быстрее, чем 15 секунд (зависит от того, насколько велики или малы ваши формы), то это был бот.

Надеюсь на эту помощь

Очень эффективный способ практически избавиться от спама - создать текстовое поле с текстом, например «Удалите этот текст, чтобы отправить форму!» и этот текст необходимо удалить, чтобы отправить форму.

После проверки формы, если текстовое поле содержит исходный текст или любой случайный текст, не отправляйте форму. Боты могут читать имена форм и автоматически заполнять поля «Имя» и «Электронная почта», но не знают, действительно ли им нужно удалять текст из определенного поля для отправки.

Я применил этот метод на нашем корпоративном веб-сайте, и он полностью устранил спам, который мы получали ежедневно. Это действительно работает!

Как насчет создания поля ввода текстового поля того же цвета, что и фон, который должен оставаться пустым. Это позволит обойти проблему с отображением чтения бота: нет

http://recaptcha.net/

reCAPTCHA - это бесплатный сервис-антибот, помогающий оцифровывать книги.

Приобретено компанией Google (в 2009 году):

• https://www.google.com/recaptcha
• https://developers.google.com/recaptcha/

Также см

• https://en.wikipedia.org/wiki/ReCAPTCHA
• https://en.wikipedia.org/wiki/CAPTCHA для получения дополнительной информации.

Многие из этих спам-ботов - это просто серверные скрипты, которые бродят по сети. Вы можете бороться со многими из них, используя некоторый javascript для управления запросом формы перед его отправкой (т. Е. Установив дополнительное поле на основе некоторой клиентской переменной). Это не полное решение и может привести к множеству проблем (например, у пользователей без javascript, на мобильных устройствах и т. Д.), Но это может быть частью вашего плана атаки.

Вот банальный пример ...

<script>
function checkForm()
{
    // When a user submits the form, the secretField's value is changed
    $('input[name=secretField]').val('goodValueEqualsGoodClient');

    return true;
}
</script>

<form id="cheese" onsubmit="checkForm">
<input type="text" name="burger">

<!-- Check that this value isn't the default value in your php script -->
<input type="hidden" name="secretField" value="badValueEqualsBadClient">

<input type="submit">
</form>

Где-то в вашем php скрипте ...

<?php

if ($_REQUEST['secretField'] != 'goodValueEqualsGoodClient')
{
    die('you are a bad client, go away pls.');
}

?>

Кроме того, капчи - отличное средство и действительно лучшая защита от спама.

Я удивлен, что никто еще не упомянул об этом методе:

• Добавьте на свою страницу небольшое скрытое изображение.
• Разместите cookie при показе этого изображения.
• При обработке отправки формы проверьте наличие файла cookie.

Плюсы:

• удобно для пользователя и разработчика
• кажется надежным
• нет JavaScript

Минусы:

• добавляет один HTTP-запрос
• требует, чтобы куки были включены на клиенте

Например, этот метод используется плагином WordPress Файлы cookie для комментариев.

С появлением безголовых браузеров (таких как phantomjs), которые могут эмулировать что угодно, вы не можете предположить, что:

• спам-боты не используют javascript,
• вы можете отслеживать события мыши для обнаружения бота,
• они не увидят, что поле визуально скрыто,
• они не будут ждать определенное время перед отправкой.

Если это было правдой, теперь это неправда.

Если вам не подходит удобное решение, просто дайте им красивую кнопку «я спамер» отправить:

 <input type="submit" name="ignore" value="I am a spammer!" />
 <input type="image" name="accept" value="submit.png" alt="I am not a spammer" />

Конечно, вы можете играть с двумя input[type=image] кнопками изображений, изменяя порядок после каждой загрузки, варианты текста, содержимое изображений (и их размер) или name кнопок; что потребует некоторой работы с сервером.

 <input type="image" name="random125454548" value="random125454548.png"
      alt="I perfectly understand that clicking on this link will send the
      e-mail to the expected person" />
 <input type="image" name="random125452548" value="random125452548.png"
      alt="I really want to cancel the submission of this form" />

По причинам доступности вы должны указать правильную текстовую альтернативу, но я думаю, что длинное предложение лучше для пользователей программ чтения с экрана, чем считаться ботом.

Дополнительное примечание: эти примеры показывают, что понимание английского (или любого другого языка) и необходимость сделать простой выбор для спам-бота сложнее, чем: ждать 10 секунд, обрабатывать CSS или javascript, знать, что поле скрыто, имитировать перемещение мыши или имитация набора текста с клавиатуры, ...

Очень простой способ - предоставить некоторые поля, такие как <textarea style="display:none;" name="input"></textarea>, и отбросить все ответы, в которых они были заполнены.

Другой подход - сгенерировать всю форму (или только имена полей) с помощью Javascript; немногие боты могут его запустить.

В любом случае, вы мало что сделаете против живых «ботов» из Тайваня или Индии, которым платят 0,03 доллара за одну размещенную ссылку и таким образом они зарабатывают себе на жизнь.

У меня есть простой подход к остановке спамеров, который на 100% эффективен, по крайней мере, по моему опыту, и позволяет избежать использования reCAPTCHA и подобных подходов. Я перешел от почти 100 спама в день в html-формах одного из моих сайтов до нуля за последние 5 лет, как только я реализовал этот подход.

Он работает за счет использования возможностей электронной почты ALIAS большинства сценариев обработки HTML-форм (я использую FormMail.pl), а также графического «кода» отправки, который легко создается в самых простых графических программах. Один такой рисунок включает код M19P17nH и подсказку «Введите код слева».

В этом конкретном примере используется случайная последовательность букв и цифр, но я обычно использую неанглийские версии слов, знакомых моим посетителям (например, «пнофртай»). Обратите внимание, что подсказка для поля формы встроена в рисунок, а не отображается в форме. Таким образом, для робота это поле формы не дает ключа к разгадке его предназначения.

Единственная реальная уловка здесь - убедиться, что ваша форма html назначает этот код переменной «получателя». Затем в вашей почтовой программе убедитесь, что каждый такой код, который вы используете, установлен как псевдоним электронной почты, который указывает на любые адреса электронной почты, которые вы хотите использовать. Поскольку в форме нет каких-либо подсказок для чтения роботом и нет адресов электронной почты, он не знает, что вводить в пустое поле формы. Если он ничего не помещает в поле формы или что-либо, кроме допустимых кодов, отправка формы завершается ошибкой «неверный получатель». Вы можете использовать разную графику в разных формах, хотя, по моему опыту, в этом нет необходимости.

Конечно, человек может решить эту проблему в мгновение ока, без всех проблем, связанных с reCAPTCHA и подобными, более элегантными схемами. Если человек-спамер реагирует на ошибку получателя и программирует код изображения в роботе, вы можете легко изменить его, как только поймете, что робот был жестко запрограммирован для ответа. За пять лет использования этого подхода я ни разу не получил спама ни от одной из форм, в которых я его использую, и ни разу не получил жалоб от любого человека, использующего эти формы. Я уверен, что с этим можно справиться с помощью функции распознавания текста в роботе, но у меня никогда не случалось этого ни на одном из моих сайтов, использующих html-формы. Я также использовал «ловушки для спама» (скрытый html-код «иди сюда», указывающий на мою политику защиты от спама), но они были эффективны только на 90%.

Я думаю о многом здесь:

1. использование JS (хотя вы этого не хотите) для отслеживания движения мыши, нажатия клавиш, щелчка мыши
2. получение URL-адреса реферала (который в этом случае должен быть из того же домена) ... обычный пользователь должен пройти по веб-сайту, прежде чем перейти к контактной форме: PHP: как получить URL-адрес реферера?
3. используя переменную $ _SESSION для получения IP-адреса и проверки отправки формы на соответствие этому списку IP-адресов
4. Заполните одно текстовое поле фиктивным текстом, который вы можете проверить на стороне сервера, если он был перезаписан.
5. Проверьте версию браузера: http://chrisschuld.com/projects/browser-php-detecting-a-users-browser-from-php.html ... Понятно, что бот будет использовать не браузер, а просто скрипт.
6. Используйте AJAX, чтобы отправлять поля одно за другим и проверять разницу во времени между отправками.
7. Используйте поддельную страницу до / после формы, просто чтобы отправить еще один ввод

Другой вариант вместо использования случайных букв и цифр, как это делают многие веб-сайты, - это создание случайных изображений узнаваемых объектов. Затем попросите пользователя ввести либо цвет изображения на картинке, либо сам объект.

В общем, у каждого решения будут свои преимущества и недостатки. Вам нужно будет найти золотую середину между слишком сложным для пользователей прохождением механизма защиты от спама и количеством спам-ботов, которые могут пройти.

Роботы не могут выполнять JavaScript, поэтому вы делаете что-то вроде внедрения какого-то скрытого элемента на страницу с помощью JavaScript, а затем обнаруживаете его присутствие до отправки формы, но будьте осторожны, потому что у некоторых из ваших пользователей также будет отключен JavaScript.

В противном случае, я думаю, вы будете вынуждены использовать форму клиентского доказательства «человечности».

Лучшее решение, которое я нашел, чтобы избежать спама со стороны ботов, - это использование очень тривиального вопроса или поля в вашей форме.

Попробуйте добавить такое поле:

• Скопируйте "привет" в поле в сторону.
• 1+1 = ?
• Скопируйте название сайта в поле

Эти уловки требуют от пользователя понимания того, что должно быть введено в форму, что значительно усложняет задачу массового заполнения форм ботами.

ИЗМЕНИТЬ

Обратная сторона этого метода, как вы указали в своем вопросе, является дополнительным шагом для пользователя для проверки его формы. Но, на мой взгляд, это намного проще, чем капча, и накладные расходы при заполнении формы составляют не более 5 секунд, что кажется приемлемым с точки зрения пользователя.

На сайте JQuery есть учебник по этому поводу. Хотя это JQuery, идея не зависит от фреймворка.

Если JavaScript недоступен, возможно, вам придется вернуться к подходу типа CAPTCHA.

Я нашел простой способ сделать это - поместить поле со значением и попросить пользователя удалить текст в этом поле. поскольку боты их только засыпают. если поле не пустое, это означает, что пользователь не человек, и оно не будет опубликовано. это та же цель, что и код капчи.

Это просто идея, id использовал это в моем приложении и хорошо работает

вы можете создать файл cookie при движении мыши с помощью javascript или jquery и на стороне сервера проверить, существует ли cookie, потому что только люди имеют мышь, cookie может быть создан только ими, cookie может быть меткой времени или токеном, который можно проверить

По моему опыту, если это просто «контактная» форма, вам не нужны особые меры. Спам прилично фильтруется службами веб-почты (вы можете отслеживать запросы веб-форм с помощью серверных скриптов, чтобы увидеть, что эффективно достигает вашей электронной почты, конечно, я предполагаю, что у вас есть хорошая веб-почта: D)

Кстати, я стараюсь не полагаться на сеансы для этого (например, подсчитывая, сколько раз нажимается кнопка, чтобы предотвратить перегрузки).

Я не думаю, что это хорошо. На самом деле, я хочу получать электронные письма от пользователей, которые совершают определенные действия, потому что это те пользователи, которые мне интересны (например, пользователи, которые просмотрели страницу "CV" и использовали правильный контакт форма). Поэтому, если пользователь делает что-то, что я хочу, я начинаю отслеживать его сеанс и устанавливаю файл cookie (я всегда устанавливаю файл cookie сеанса, но когда я не начинаю сеанс, это просто поддельный файл cookie, созданный для того, чтобы поверить в то, что у пользователя есть сеанс). Если пользователь делает что-то нежелательное, я не беспокоюсь о том, чтобы сохранить для него сеанс, поэтому никаких перегрузок и т. Д.

Также для меня было бы хорошо, если бы рекламные службы предлагали какой-то api (возможно, он уже существует), чтобы увидеть, «посмотрел ли пользователь на рекламу», вполне вероятно, что пользователи, просматривающие рекламу, являются настоящими пользователями, но если они не очень хорошо, по крайней мере, вы все равно получите 1 просмотр, так что ничего не потеря. (и поверьте мне, средства управления рекламой сложнее, чем все, что вы можете сделать в одиночку)

На самом деле ловушка с display: none работает как шарм. Это помогает переместить объявление CSS в файл, содержащий любые глобальные таблицы стилей, что заставит спам-ботов загружать и их (прямое объявление style = "display: none;", вероятно, может быть интерпретировано спам-бот, а также объявление локального стиля в самом документе).

Это в сочетании с другими контрмерами должно сделать невозможным выгрузку своего мусора спам-ботами (у меня есть гостевая книга, защищенная множеством мер, и пока они попались на мои основные ловушки - однако, если какой-либо бот обойдет их, там готовы ли другие сработать).

Я использую комбинацию поддельных полей формы (также называемых недопустимыми полями в случае, если используется браузер, который не обрабатывает CSS в целом или display: none в частности), проверки работоспособности ( т.е. допустим ли формат ввода?), отметка времени (как слишком быстрое, так и слишком медленное представление), MySQL (для создания черных списков на основе электронной почты и IP-адресов, а также фильтров лавинной рассылки), DNSBL (например, SBL + XBL от Spamhaus), текстовый анализ (например, слова, которые являются явным признаком спама) и проверочные электронные письма (чтобы определить, действителен ли предоставленный адрес электронной почты).

Одно примечание о проверочных письмах: этот шаг является полностью необязательным, но когда кто-то решает его реализовать, этот процесс должен быть максимально простым в использовании (то есть он должен сводиться к щелчку ссылки, содержащейся в электронном письме. ) и внести соответствующий адрес электронной почты в белый список на определенный период времени, чтобы избежать последующих проверок в случае, если пользователь захочет разместить дополнительные сообщения.

1. Я использую метод, в котором есть скрытое текстовое поле. Поскольку боты разбирают сайт, они, вероятно, его заполняют. Затем я проверяю, пуст ли он, если это не сайт, возвращается обратно.

2. Добавьте подтверждение по электронной почте. Пользователь получает электронное письмо, и ему нужно щелкнуть ссылку. В противном случае через некоторое время сбросьте пост.

Я добавил в свои формы проверку времени. Формы не будут отправлены, если заполнены менее чем за 3 секунды, и это отлично сработало для меня, особенно для длинных форм. Вот функция проверки формы, которую я вызываю при нажатии кнопки отправки.

function formCheck(){
var timeStart; 
var timediff;

$("input").bind('click keyup', function () {
    timeStart = new Date().getTime();          
}); 
 timediff= Math.round((new Date().getTime() - timeStart)/1000);

  if(timediff < 3) { 
    //throw a warning or don't submit the form 
  } 
  else submit(); // some submit function

}

С появлением все более изощренных спам-ботов и таких методов, как автоматические браузеры, становится все труднее определять источник спама. Но независимо от того, отправляется ли он программным обеспечением, человеком или и тем, и другим, спам является спамом из-за своего содержания. Я думаю, что лучшим решением будет запускать размещенный контент через антиспамовый API, такой как Cleantalk или Akismet. Это относительно дешево и эффективно и не беспокоит пользователя. Вы можете проверить время отправки формы и другие традиционные проверки на предмет менее сложных ботов, прежде чем использовать API.

Вы можете попытаться обмануть спам-роботов, добавив правильный атрибут действия после проверки Javascript. Если робот блокирует Javascript, он никогда не сможет правильно отправить форму.

HTML

<form id="form01" action="false-action.php">
    //your inputs
    <button>SUBMIT</button>
</form>

JAVASCRIPT

$('#form01 button').click(function(){

   //your Validations and if everything is ok: 

    $('#form01').attr('action', 'correct-action.php').on("load",function(){
        document.getElementById('form01').submit()
    });
})

Затем я добавляю обратный вызов после .attr (), чтобы предотвратить ошибки.

Решил добавить еще один ответ, извините.

Мы используем комбинацию двух:

1. Поле приманки с name="email" (уже упоминалось в других ответах), просто обязательно используйте изощренный способ скрыть его, например, уйти с экрана или что-то в этом роде. Поскольку боты могут обнаруживать display:none
2. Скрытое поле, которое задается JavaScript, когда пользователь clicks (или focuses, если вы хотите быть удобным для TAB) в обязательном поле (не упоминалось в других ответах)

Второй вариант может даже защитить от спама типа headless-browser (с использованием phatnom.js или Selenium), потому что даже JavaScript-боты не беспокоят фактического нажатия на текстовые поля.

Блокирует 99% ботов.

PS. Обязательно используйте фокусировку только на тех полях, которые не заполняются менеджерами паролей, такими как LastPass или 1Passwor.

По тем же причинам - отметьте свою приманку знаком autocomplete="false" tabindex="-1".

Использовать:

1. форма с токенами
2. Проверьте форму, чтобы сформировать задержку с IP-адресом
3. Заблокировать IP (необязательно)

Всего мои пять центов. Если цель этого - остановить 99% роботов, что звучит неплохо, и если 99% роботов не могут запустить Java-скрипт, лучшее решение, которое превосходит все, - просто не использовать форму, которая имеет действие отправки с URL сообщения.

Если форма управляется с помощью java-скрипта, а java-скрипт собирает данные формы и затем отправляет их через HTTP-запрос, ни один робот не может отправить форму. Поскольку кнопка отправки будет использовать Java-скрипт для запуска кода, отправляющего форму.