ロボットが自動的にフォームに記入するのを防ぐ方法は？

自動生成された入力を防ぐために十分なスパム対策メカニズムを考え出そうとしています。captcha、1 + 1 =などのテクニックを読んだことがありますか？ものはうまく機能しますが、アプリケーションの無料の迅速な使用を妨げる追加の手順も示します（そのようなものを探していません）。

すべてのフォームでいくつかの非表示フィールドを設定しようとしましたが、display: none; そのフォームフィールドIDを追跡し、単に入力しないようにスクリプトを構成できることは確かです。

自動アンチフォーム自動入力ロボットの優れた方法を実装/知っていますか？HTMLおよび/またはサーバー側の処理でシームレスに実行でき、（ほぼ）防弾できるものはありますか？（JSを使用しない場合、単純に無効にすることができます）。

私はこのためにセッションに依存しないようにしています（つまり、過負荷を防ぐためにボタンがクリックされた回数をカウントしています）。

アンチスパムを解決するための実装は簡単であるが、完全ではない（特に「特定の」攻撃について）方法は、フォームの送信とページの読み込みの間の時間を追跡することです。

ボットはページをリクエストし、ページを解析してフォームを送信します。これは速いです。

人間は、URLを入力し、ページを読み込み、ページが完全に読み込まれるまで待機し、下にスクロールしてコンテンツを読み取り、フォームにコメント/入力するかどうかを決定し、フォームへの入力に時間がかかり、送信します。

時間の違いは微妙です。そして、クッキーなしでこの時間を追跡する方法は、サーバー側データベースのいくつかの方法を必要とします。これはパフォーマンスに影響を与える可能性があります。
また、しきい値時間を微調整する必要があります。

実際、私は単純なハニーポットフィールドがうまく機能することを発見しました。ほとんどのボットは、必要なフィールドバリデーターを回避するために、表示するすべてのフォームフィールドに入力します。

http://haacked.com/archive/2007/09/11/honeypot-captcha.aspx

テキストボックス、JavaScriptで非表示にそれを作成した場合、その値があることを確認し、ブランク、サーバー上でそこのロボットの99％のうち、この雑草、およびユーザーの99％を起こさない任意のすべてのフラストレーションを。JavaScriptが無効になっている残りの1％には引き続きテキストボックスが表示されますが、そのような場合は（このフィールドを空白のままにする）などのメッセージを追加できます（それらをまったく気にする場合）。

（また、フィールドでstyle = "display：none"を実行すると、ロボットがそれを見てフィールドを破棄するのが非常に簡単になることに注意してください。そのため、私はJavaScriptのアプローチを好みます。

ボットがまったく見つからない場合はどうformなりますか？

3つの例：

1. AJAXを使用してフォームを挿入する

• JSが無効になっていてフォームを表示/送信できないユーザーが問題ない場合は、通知を送信し、noscriptステートメントを使用して、まずJavaScriptを有効にすることができます。

<noscript>
  <p class="error">
    ERROR: The form could not be loaded. Please enable JavaScript in your browser to fully enjoy our services.
  </p>
</noscript>

• を作成し、要素の内部にform.html配置します。form<div id="formContainer">

• そのフォームを呼び出す必要があるページ内では、空の<div id="dynamicForm"></div>jQueryを使用します。$("#dynamicForm").load("form.html #formContainer");

2. JSを完全に使用してフォームを作成する

// THE FORM
var $form = $("<form/>", {
  appendTo : $("#formContainer"),
  class    : "myForm",
  submit   : AJAXSubmitForm
});

// EMAIL INPUT
$("<input/>",{
  name        : "Email", // Needed for serialization
  placeholder : "Your Email",
  appendTo    : $form,
  on          : {        // Yes, the jQuery's on() Method 
    input : function() {
      console.log( this.value );
    }
  }
});

// MESSAGE TEXTAREA
$("<textarea/>",{
  name        : "Message", // Needed for serialization
  placeholder : "Your message",
  appendTo    : $form
});

// SUBMIT BUTTON
$("<input/>",{
  type        : "submit",
  value       : "Send",
  name        : "submit",
  appendTo    : $form
});

function AJAXSubmitForm(event) {
  event.preventDefault(); // Prevent Default Form Submission
  // do AJAX instead:
  var serializedData = $(this).serialize();
  alert( serializedData );
  $.ajax({
    url: '/mail.php',
    type: "POST",
    data: serializedData,
    success: function (data) {
      // log the data sent back from PHP
      console.log( data );
    }
  });
}

.myForm input,
.myForm textarea{
  font: 14px/1 sans-serif;
  box-sizing: border-box;
  display:block;
  width:100%;
  padding: 8px;
  margin-bottom:12px;
}
.myForm textarea{
  resize: vertical;
  min-height: 120px;
}

<script src="https://ajax.googleapis.com/ajax/libs/jquery/2.1.1/jquery.min.js"></script>
<div id="formContainer"></div>

3. ボットベイト入力

• 以下のような生意気な入力要素のような（本当に好きな）ボット：

<input 
  type="text"
  name="email"
  id="email"
  placeholder="Your email"
  autocomplete="nope"
  tabindex="-1"

They wll be happy to enter some value such as
`dsaZusil@kddGDHsj.com`

• 上記のHTMLを使用した後、CSSを使用して入力を表示しないこともできます。

input[name=email]{ /* bait input */
  /* do not use display:none or visibility:hidden
     that will not fool the bot*/
  position:absolute;
  left:-2000px;
}

• 入力がユーザーに表示されなくなったため、PHPでは$_POST["email"] 空（値なし）である必要があります。それ以外の場合は、フォームを送信しないでください。
• 最後に、あなたがする必要があるすべては作成され、別の入力を同様に <input name="sender" type="text" placeholder="Your email"> （！）の後に、「ボット・ベイト」実際のユーザの電子メールアドレスの入力。

謝辞：

Developer.Mozilla-フォームのオートコンプリートを無効にする
StackOverflow-Tabindexを無視する

私がしたことは、隠しフィールドを使用してタイムスタンプを付け、それをPHPを使用してサーバー上のタイムスタンプと比較することです。

15秒よりも速い場合（フォームの大きさによって異なります）、それはボットでした。

この助けを願っています

スパムを事実上排除する非常に効果的な方法は、「フォームを送信するためにこのテキストを削除してください！」などのテキストを含むテキストフィールドを用意することです。フォームを送信するには、そのテキストを削除する必要があります。

フォームの検証時に、テキストフィールドに元のテキスト、またはランダムなテキストが含まれている場合は、フォームを送信しないでください。ボットはフォーム名を読み取って[名前]および[メール]フィールドに自動的に入力できますが、送信するために特定のフィールドから実際にテキストを削除する必要があるかどうかはわかりません。

私はこの方法を企業のWebサイトに実装し、日常的に取得するスパムを完全に排除しました。それは実際に動作します！

空白のままにする必要がある背景と同じ色のテキストフィールド入力ボックスを作成するのはどうですか。これにより、ボットがディスプレイを読み取る問題が回避されます。

http://recaptcha.net/

reCAPTCHAは、書籍のデジタル化に役立つ無料のアンチボットサービスです。

Googleに買収されました（2009年）：

• https://www.google.com/recaptcha
• https://developers.google.com/recaptcha/

また見なさい

• https://en.wikipedia.org/wiki/ReCAPTCHA
• より一般的な情報については、https：//en.wikipedia.org/wiki/CAPTCHA

これらのスパムボットの多くは、Webをうろつくサーバーサイドスクリプトにすぎません。いくつかのJavaScriptを使用してフォーム要求を送信前に操作することで、それらの多くと戦うことができます（つまり、いくつかのクライアント変数に基づいて追加のフィールドを設定します）。これは完全な解決策ではなく、多くの問題（JavaScriptを使用しないユーザー、モバイルデバイスなど）につながる可能性がありますが、攻撃計画の一部になる可能性があります。

これは簡単な例です...

<script>
function checkForm()
{
    // When a user submits the form, the secretField's value is changed
    $('input[name=secretField]').val('goodValueEqualsGoodClient');

    return true;
}
</script>

<form id="cheese" onsubmit="checkForm">
<input type="text" name="burger">

<!-- Check that this value isn't the default value in your php script -->
<input type="hidden" name="secretField" value="badValueEqualsBadClient">

<input type="submit">
</form>

あなたのphpスクリプトのどこかに...

<?php

if ($_REQUEST['secretField'] != 'goodValueEqualsGoodClient')
{
    die('you are a bad client, go away pls.');
}

?>

また、CAPTCHAは素晴らしいものであり、スパムに対する最善の防御策です。

誰もまだこの方法について言及していなかったことに驚いています。

• ページに、小さな非表示の画像を含めます。
• この画像を提供するときにCookieを配置します。
• フォーム送信を処理するときに、Cookieを確認します。

長所：

• ユーザーと開発者にとって便利
• 信頼できるようです
• JavaScriptなし

短所：

• 1つのHTTPリクエストを追加します
• クライアントでCookieを有効にする必要があります

たとえば、このメソッドはWordPressプラグインのCookies for Commentsで使用されます。

何かをエミュレートできるヘッドレスブラウザー（phantomjsなど）の出現により、以下のことを推測することはできません。

• スパムボットはJavaScriptを使用しません。
• マウスイベントを追跡してボットを検出できます
• 彼らはフィールドが視覚的に隠されているのを見ることはありません、
• 提出する前に一定の時間待機しません。

それがかつて真であった場合、それはもはや真ではありません。

ユーザーフレンドリーなソリューションが必要ない場合は、美しい「私はスパマーです」の送信ボタンを提供してください。

 <input type="submit" name="ignore" value="I am a spammer!" />
 <input type="image" name="accept" value="submit.png" alt="I am not a spammer" />

もちろん、2つの画像input[type=image]ボタンで遊ぶことができます。各ロード後の順序、代替テキスト、画像のコンテンツ（およびそのサイズ）またはnameボタンのを変更します。サーバーの作業が必要になります。

 <input type="image" name="random125454548" value="random125454548.png"
      alt="I perfectly understand that clicking on this link will send the
      e-mail to the expected person" />
 <input type="image" name="random125452548" value="random125452548.png"
      alt="I really want to cancel the submission of this form" />

アクセシビリティの理由から、正しいテキストによる代替を配置する必要がありますが、ボットと見なされるよりも、スクリーンリーダーのユーザーにとっては長い文の方が適していると思います。

追加の注記：これらの例は、英語（または任意の言語）を理解し、簡単な選択を行う必要があることは、スパムボットにとって10秒待機する、CSSまたはJavaScriptを処理する、フィールドが非表示であることを認識する、マウスの動きをエミュレートする、またはキーボード入力のエミュレート、...

非常に簡単な方法は、のようないくつかのフィールドを提供し、<textarea style="display:none;" name="input"></textarea>これが入力されているすべての返信を破棄することです。

別の方法は、JavaScriptを使用してフォーム全体（またはフィールド名のみ）を生成することです。実行できるボットはほとんどありません。

とにかく、投稿されたリンク1つにつき0.03ドルが支払われる台湾やインドからのライブの「ボット」に対しては、それほど大きなことはせず、その方法で生計を立てます。

私はスパマーを止めるシンプルなアプローチを持っています。これは少なくとも私の経験では100％効果的であり、reCAPTCHAや同様のアプローチの使用を避けています。このアプローチを実装してから、過去5年間、サイトのHTMLフォームの1つで1日あたり100近くのスパムからゼロになりました。

これは、ほとんどのHTMLフォーム処理スクリプト（FormMail.plを使用）の電子メールエイリアス機能と、最もシンプルなグラフィックプログラムで簡単に作成できるグラフィック送信 "コード"を利用して機能します。このようなグラフィックの1つに、コードM19P17nHと「左側にコードを入力してください」というプロンプトが含​​まれています。

この特定の例ではランダムな文字と数字のシーケンスを使用していますが、私は訪問者に馴染みのある英語以外のバージョンの単語を使用する傾向があります（「pnofrtay」など）。フォームフィールドのプロンプトは、フォームに表示されるのではなく、グラフィックに組み込まれていることに注意してください。したがって、ロボットにとって、そのフォームフィールドはその目的についての手がかりを提示しません。

ここでの唯一の真のトリックは、フォームhtmlがこのコードを「受信者」変数に割り当てることを確認することです。次に、メールプログラムで、使用する各コードが、使用する電子メールアドレスを指す電子メールエイリアスとして設定されていることを確認します。ロボットがフォームを読み取るためのプロンプトや電子メールアドレスがないため、空白のフォームフィールドに何を入力するかわかりません。フォームフィールドに何も入力しないか、受け入れ可能なコード以外の何かを入力すると、フォームの送信が「不正な受信者」エラーで失敗します。私の経験では必ずしも必要ではありませんが、さまざまな形式でさまざまなグラフィックを使用できます。

もちろん、人間はこの問題を瞬時に解決できます。reCAPTCHAやそれに似た、よりエレガントなスキームに関連するすべての問題はありません。人間のスパマーが受信者の失敗に応答し、画像コードをロボットにプログラムする場合、ロボットが応答するようにハードコーディングされていることがわかったら、簡単に変更できます。このアプローチを使用してから5年間、私はそれを使用したフォームからスパムを受け取ったことはなく、フォームのユーザーから苦情を受けたこともありません。これはロボットのOCR機能で打ち負かされる可能性があると確信していますが、htmlフォームを使用する私のサイトでこれが発生したことはありません。また、「スパムトラップ」（私のスパム対策ポリシーを指す「隠れた」HTMLコード）を使用して効果を上げましたが、効果は約90％しかありませんでした。

私はここで多くのことを考えています：

1. JSを使用して（必要ではありませんが）、マウスの移動、キーの押下、マウスのクリックを追跡する
2. 参照URL（この場合は同じドメインのURL）を取得しています...通常のユーザーは、問い合わせフォームに到達する前にWebサイトをナビゲートする必要があります：PHP：参照URLを取得する方法は？
3. $ _SESSION変数を使用してIPを取得し、そのIPのリストに対してフォーム送信をチェックします
4. 1つのテキストフィールドに、サーバー側で上書きされていないかどうかを確認できるダミーテキストを入力します。
5. ブラウザーのバージョンを確認します。http：//chrisschuld.com/projects/browser-php-detecting-a-users-browser-from-php.html ...ボットがブラウザーではなくスクリプトだけを使用することは明らかです。
6. AJAXを使用してフィールドを1つずつ送信し、送信の時間差を確認する
7. フォームの前/後に偽のページを使用して、別の入力を送信する

多くのウェブサイトのようにランダムな文字や数字を使用する代わりに、認識可能なオブジェクトのランダムな写真を使用することもできます。次に、画像内の何かの色またはオブジェクト自体を入力するようにユーザーに要求します。

全体として、すべてのソリューションには長所と短所があります。ユーザーがアンチスパムメカニズムを通過するのが困難であり、通過できるスパムボットの数の中間値を見つける必要があります。

ロボットはJavaScriptを実行できないため、JavaScriptを使用してページに何らかの隠し要素を挿入し、フォームの送信前にその存在を検出するなどの操作を行いますが、一部のユーザーはJavaScriptも無効にしているので注意してください

それ以外の場合は、クライアントの「人間らしさ」を証明する形式を使用せざるを得ないと思います

ボットによるスパム行為を回避するために私が見つけた最良の解決策は、フォーム上で非常に簡単な質問またはフィールドを使用することです。

次のようなフィールドを追加してみてください。

• 横のボックスに「こんにちは」をコピーします
• 1 + 1 =？
• ボックスにウェブサイト名をコピーします

これらのトリックでは、ユーザーはフォームに入力する必要があるものを理解する必要があるため、大量のボットフォーム入力の対象になるのがはるかに難しくなります。

編集する

質問で述べたように、このメソッドの裏側は、ユーザーがフォームを検証するための追加のステップです。しかし、私の意見では、キャプチャよりもはるかに単純であり、フォームに入力する際のオーバーヘッドは5秒以下であり、ユーザーの観点からは許容できるようです。

チュートリアルがあります jQueryのサイトでこのことについては。JQueryですが、アイデアはフレームワークに依存しません。

JavaScriptが利用できない場合は、CAPTCHAタイプのアプローチにフォールバックする必要があるかもしれません。

これを行うために見つけた簡単な方法は、値を持つフィールドを配置し、ユーザーにこのフィールドのテキストを削除するように依頼することです。ボットはそれらを埋めるだけなので。フィールドが空でない場合、それはユーザーが人間ではなく、投稿されないことを意味します。キャプチャコードと同じ目的です。

それは単なるアイデアであり、idは私のアプリケーションでそれを使用し、うまく機能しました

javascriptまたはjqueryを使用してマウスの動きでcookieを作成し、サーバー側でcookieが存在するかどうかを確認できます。人間しかマウスを持っていないため、cookieを作成できるのは、タイムスタンプまたは検証可能なトークンのみです。

使用1）トークン付きフォーム2）フォームをチェックしてIPアドレスで遅延を形成3）ブロックIP（オプション）

私の経験では、フォームが単なる「連絡」フォームである場合、特別な措置は必要ありません。スパムはウェブメールサービスによってきちんとフィルタリングされます（サーバースクリプトを介してウェブフォーム要求を追跡し、電子メールに効果的に到達するものを確認できます。もちろん、優れたウェブメールサービスがあると思います：D）

ところで、これはセッションに依存しないようにしています（たとえば、過負荷を防ぐためにボタンがクリックされた回数を数える）。

それは良いことではないと思います。確かに私が達成したいのは、特定のアクションを実行するユーザーからメールを受信することです。なぜなら、それらは私が興味のあるユーザーだからです（たとえば、「CV」ページを見て、適切な連絡先を使用したユーザーです。形）。したがって、ユーザーが私が望むことをした場合、私はそのセッションの追跡を開始し、Cookieを設定します（常にセッションCookieを設定しますが、セッションを開始しない場合は、ユーザーがセッションを持っていると信じさせるための偽のCookieです）。ユーザーが不要なことをした場合、私はわざわざ彼のためにセッションを維持しないので、過負荷などはありません。

また、広告サービスが、ユーザーが「広告を見た」かどうかを確認するために、ある種のapi（多分すでに存在している）を提供しているといいのですが、広告を見ているユーザーは実際のユーザーである可能性がありますが、そうでない場合とにかく、少なくとも1つのビューが表示されるので、損失はありません。（そして私を信じて、広告コントロールはあなたが一人でできることよりも洗練されています）

実際にはディスプレイ付きのトラップ：どれも魅力のように機能しません。CSS宣言をグローバルスタイルシートを含むファイルに移動すると、スパムボットにもこれらをロードするようになります（直接のstyle = "display：none;"宣言は、スパムボットによって解釈される可能性があります。ドキュメント内のローカルスタイル宣言）。

これを他の対策と組み合わせると、スパムボットがジャンクをアンロードすることは不可能になります（私はさまざまな手段でゲストブックを保護していますが、これまでのところ、彼らは私の主要なトラップに陥っています-しかし、ボットがそれらをバイパスする場合他のユーザーはトリガーする準備ができています）。

私が使用しているのは、偽のフォームフィールドの組み合わせ（CSSを一般に処理しない、または特に表示しないブラウザーを使用する場合の無効なフィールドとも呼ばれます）、妥当性チェック（つまり、入力の形式）です。有効？）、タイムスタンプ（提出が速すぎる、遅すぎる）、MySQL（電子メールとIPアドレスに基づくブラックリスト、およびフラッドフィルターを実装するため）、DNSBL（SpamhausのSBL + XBLなど）、テキスト分析（たとえば、スパムの強力な兆候である単語）と検証用の電子メール（提供された電子メールアドレスが有効かどうかを判断するため）。

確認メールに関する注意事項：この手順は完全にオプションですが、実装することを選択した場合、このプロセスはできるだけ使いやすくする必要があります（つまり、メールに含まれているリンクをクリックするように要約する必要があります） ）そして、問題の電子メールアドレスが一定期間ホワイトリストに登録されるようにして、ユーザーが追加の投稿をしたい場合に、後続の検証が回避されるようにします。

1. 非表示のテキストボックスがあるメソッドを使用します。ボットはウェブサイトを解析するので、おそらくそれを埋めます。それからそれが空でないかどうかをチェックします。

2. メール確認を追加します。ユーザーはメールを受信し、リンクをクリックする必要があります。それ以外の場合は、しばらくして投稿を破棄してください。

フォームに時間チェックを追加しました。3秒未満で記入された場合、フォームは送信されません。これは、特に長いフォームの場合、私にとって非常に役立ちました。これが、送信ボタンで呼び出すフォームチェック関数です。

function formCheck(){
var timeStart; 
var timediff;

$("input").bind('click keyup', function () {
    timeStart = new Date().getTime();          
}); 
 timediff= Math.round((new Date().getTime() - timeStart)/1000);

  if(timediff < 3) { 
    //throw a warning or don't submit the form 
  } 
  else submit(); // some submit function

}

ますます洗練されたスパムボットと自動化されたブラウザのような技術により、スパムのソースを特定することは困難になります。しかし、ソフトウェア、人間、またはその両方によって投稿されたスパムは、そのコンテンツのためにスパムです。投稿されたコンテンツをCleantalkやAkismetなどのスパム対策APIで実行するのが最善の解決策だと思います。それは比較的安価で効果的であり、ユーザーを煩わせません。APIにアクセスする前に、フォーム送信時間をチェックし、その他の従来のチェックで高度なボットをチェックできます。

JavaScript検証後に正しいアクション属性を追加することで、スパムロボットをだまそうとすることができます。ロボットがJavaScriptをブロックすると、フォームを正しく送信できなくなります。

HTML

<form id="form01" action="false-action.php">
    //your inputs
    <button>SUBMIT</button>
</form>

ジャバスクリプト

$('#form01 button').click(function(){

   //your Validations and if everything is ok: 

    $('#form01').attr('action', 'correct-action.php').on("load",function(){
        document.getElementById('form01').submit()
    });
})

次に、エラーを防ぐために.attr（）の後に「コールバック」を追加します。

ちょうど私の5セントの価値があります。これの目的がロボットの99％を停止することであり、それがかなり良いように思える場合、そしてロボットの99％がJavaスクリプトを実行できない場合、すべてに勝る最善の解決策は、送信アクションを持つフォームを使用しないことです。投稿URL。

フォームがjava-scriptで制御され、java-scriptがフォームデータを収集してHTTPリクエストで送信する場合、ロボットはフォームを送信できません。送信ボタンはJavaスクリプトを使用してフォームを送信するコードを実行するため。