有人还建议使用Raphael JavaScript库，它显然可以让你在所有流行的浏览器的客户端上作画:

http://dmitry.baranovskiy.com/raphael/

．． 但这并不完全适用于我的<noscript>情况，不是吗?：）

只是在任何基于验证码的问题中都要小心文化偏见。

智力测试中的偏见

我有一个phpBB 2.0网站的垃圾邮件问题，我正在运行一段时间(该网站现在升级)。 我在pbpBB论坛上找到了一个自定义验证码mod，在一段时间内工作得很好。我发现真正的解决方案是将此与(在帐户创建页面上)额外的“必填”字段结合起来。我添加了;地点和职业(平淡无奇，但很容易了解)。机器人从未尝试填充这些，仍然认为验证码是每次尝试的失败点。

这种方法的优点是，对于大多数人来说，CAPTCHA永远不会可见!

我喜欢这个主意，难道我们就不能直接加入代表系统吗?我的意思是，任何拥有100 + rep的人都有可能是人类。所以如果他们有代表，你甚至不需要在验证码方面做任何事情。

然后，如果他们不是，然后发送它，我相信它不会花那么多帖子到100，社区会立即扑向任何似乎是带有攻击性标签的垃圾邮件，为什么不添加一个“报告垃圾邮件”链接，降低200?获得3个，垃圾邮件成就解锁，再见;)

编辑:我还应该补充一点，我喜欢非图像验证码的数学想法。或者是一个简单的谜语类型的东西。可能会让帖子更有趣^_^

我认为我们必须假设这个网站会经常受到有针对性的攻击，而不仅仅是一般的漂移机器人。如果它成为程序员搜索的第一个热门，它将引来大量的火力。

对我来说，这意味着任何验证码系统都不能从重复的问题列表中提取答案，而人类可以手动将这些问题输入机器人，而且机器人也猜不到。

我开发的一个方法，似乎工作得很完美(虽然我可能不会像你一样收到那么多评论垃圾邮件)，是有一个隐藏字段，并填充一个虚假的值，例如:

<input type="hidden" name="antispam" value="lalalala" />

然后，我有一段JavaScript，它每秒更新的值与页面已加载的秒数:

var antiSpam = function() {
        if (document.getElementById("antiSpam")) {
                a = document.getElementById("antiSpam");
                if (isNaN(a.value) == true) {
                        a.value = 0;
                } else {
                        a.value = parseInt(a.value) + 1;
                }
        }
        setTimeout("antiSpam()", 1000);
}

antiSpam();

然后当表单提交时，如果反垃圾邮件值仍然是“lalalala”，那么我将其标记为垃圾邮件。如果反垃圾邮件值是整数，我会检查它是否大于10(秒)。如果低于10，我把它标记为垃圾邮件，如果超过10，我就让它通过。

If AntiSpam = A Integer
    If AntiSpam >= 10
        Comment = Approved
    Else
        Comment = Spam
Else
    Comment = Spam

理论是:

垃圾邮件机器人不支持JavaScript，只提交它看到的内容 如果机器人支持JavaScript，它会立即提交表单 评论者在发帖前至少阅读了一些页面内容

这种方法的缺点是它需要JavaScript，如果您没有启用JavaScript，您的评论将被标记为垃圾邮件，但是，我确实会查看标记为垃圾邮件的评论，所以这不是问题。

回应评论

@MrAnalogy:服务器端方法听起来是一个很好的想法，和在JavaScript中完全一样。良好的电话。

@AviD:我知道这种方法很容易受到直接攻击，就像我在博客上提到的那样。然而，它将防御你的平均垃圾邮件机器人盲目提交垃圾的任何形式，它可以找到。