我可以在不验证令牌的情况下实施 Recaptcha V3 吗?
Can i implement Recaptcha V3 without verifying token?
Google Recaptcha V3 文档显示最简单的实现方法是使用他们所谓的“自动将挑战绑定到按钮”
https://developers.google.com/recaptcha/docs/v3#automatically_bind_the_challenge_to_a_button
从他们的例子来看,回调函数直接处理提交。
他们是否暗示您不必通过这种方法使用他们的 API 来验证令牌?
或者这个例子只是为了展示如何 运行 一个以令牌作为参数的 JS 回调函数?
如果您没有 recaptcha 令牌的服务器端验证,您可以从按钮中删除 recaptcha 事件,并像往常一样在没有令牌的情况下提交表单。
简而言之,文档中的示例是不安全的,还是只是缺少服务器端验证部分?
当然要后台验证了
Make the request to verify the response token as with reCAPTCHA
v2 or Invisible reCAPTCHA.
您希望如何检查验证码是否以其他方式正确填充?通过 javascript api 对您的脚本的简单响应?绕过它需要 5 秒。验证码旨在保护您免受机器人的侵害,而不是浏览器用户的侵害。
假设您正在客户端验证 catcha 响应(使用 javascript)。您从某些功能中获得了一些“真实”信息,验证码已正确填写。然后呢?基于此,您将用户重定向到一个 url 而不是另一个?或者您有什么想法让验证码起到任何保护作用?如果你这样做,每个人都可以绕过它直接进入 url。或者您打算实施一些会话、服务器端保护。如果是这样,为什么不使用已经在 reCatcha 中实现的那个呢?如果没有服务器端验证,就无法制作保护您免受机器人程序或垃圾邮件侵害的脚本。
Google Recaptcha V3 文档显示最简单的实现方法是使用他们所谓的“自动将挑战绑定到按钮” https://developers.google.com/recaptcha/docs/v3#automatically_bind_the_challenge_to_a_button
从他们的例子来看,回调函数直接处理提交。 他们是否暗示您不必通过这种方法使用他们的 API 来验证令牌? 或者这个例子只是为了展示如何 运行 一个以令牌作为参数的 JS 回调函数?
如果您没有 recaptcha 令牌的服务器端验证,您可以从按钮中删除 recaptcha 事件,并像往常一样在没有令牌的情况下提交表单。
简而言之,文档中的示例是不安全的,还是只是缺少服务器端验证部分?
当然要后台验证了
Make the request to verify the response token as with reCAPTCHA v2 or Invisible reCAPTCHA.
您希望如何检查验证码是否以其他方式正确填充?通过 javascript api 对您的脚本的简单响应?绕过它需要 5 秒。验证码旨在保护您免受机器人的侵害,而不是浏览器用户的侵害。
假设您正在客户端验证 catcha 响应(使用 javascript)。您从某些功能中获得了一些“真实”信息,验证码已正确填写。然后呢?基于此,您将用户重定向到一个 url 而不是另一个?或者您有什么想法让验证码起到任何保护作用?如果你这样做,每个人都可以绕过它直接进入 url。或者您打算实施一些会话、服务器端保护。如果是这样,为什么不使用已经在 reCatcha 中实现的那个呢?如果没有服务器端验证,就无法制作保护您免受机器人程序或垃圾邮件侵害的脚本。