【发布时间】:2010-11-03 19:10:49
【问题描述】:
我已经阅读了很多关于垃圾邮件预防的内容,这是一个不断被建议的明显解决方案:
使用令牌并将其放入会话中 并将其添加到表单中。如果 令牌未与表单一起提交 或者不匹配然后它是自动的 并且可以忽略。
来源:https://webmasters.stackexchange.com/questions/3588/how-do-spambots-work
这基本上是说保护自己免受 CSRF 的伤害。
所以我的问题是,垃圾邮件机器人是否完全依赖于包含 CSRF 的方法?他们是否只是简单地发送重复的 POST 请求而没有实际请求页面以找出嵌入在表单中的隐藏令牌是什么?这似乎太容易停止了,我对此表示怀疑。有人有这方面的具体信息吗?
【问题讨论】:
-
不同的垃圾邮件机器人的工作方式不同。很可能以您描述的方式工作,但其中很多都绕过了这种技术。一般来说,您对垃圾邮件机器人采取的任何措施都可以并且将会被避免。
-
即使它只对 1% 的垃圾邮件程序有效,您的网站受到攻击的几率也会降低 1%。
-
@jnpcl:是的,我并不是说您不应该使用任何形式的垃圾邮件预防措施。我只是说你自动“远离垃圾邮件机器人”的假设是危险的。
标签: spam-prevention csrf