除非我遗漏了什么，否则使用reCAPTCHA有什么问题，因为所有的工作都是在外部完成的。

只是一个想法。

不是最精致的反垃圾邮件武器，但是微软支持:

Nobot-Control (AjaxControlToolkit的一部分)。

NoBot可以通过违反上述任何技术进行测试:快速回发、多次回发或禁用浏览器中的JavaScript。

演示:

http://www.asp.net/AJAX/AjaxControlToolkit/Samples/NoBot/NoBot.aspx

我认为比特币是一个非常实用的非图像验证码——详情请参阅http://bitcoin.org。

人们在注册时发送小额付款，确认后可以退还。你花在弄清楚验证码上的时间不会回来。

Make an AJAX query for a cryptographic nonce to the server. The server sends back a JSON response containing the nonce, and also sets a cookie containing the nonce value. Calculate the SHA1 hash of the nonce in JavaScript, copy the value into a hidden field. When the user POSTs the form, they now send the cookie back with the nonce value. Calculate the SHA1 hash of the nonce from the cookie, compare to the value in the hidden field, and verify that you generated that nonce in the last 15 minutes (memcached is good for this). If all those checks pass, post the comment.

This technique requires that the spammer sits down and figures out what's going on, and once they do, they still have to fire off multiple requests and maintain cookie state to get a comment through. Plus they only ever see the Set-Cookie header if they parse and execute the JavaScript in the first place and make the AJAX request. This is far, far more work than most spammers are willing to go through, especially since the work only applies to a single site. The biggest downside is that anyone with JavaScript off or cookies disabled gets marked as potential spam. Which means that moderation queues are still a good idea.

从理论上讲，这可以作为通过模糊性的安全，但在实践中，这是很好的。

我从未见过垃圾邮件发送者试图破解这种技术，尽管可能每隔几个月我就会收到一个手动输入的主题垃圾邮件条目，这有点怪异。

我编写了一个相当大的新闻网站，一直在摆弄验证码和分析垃圾邮件机器人。

我所有的解决方案都是针对中小型网站的(就像这个主题中的大多数解决方案一样) 这意味着他们可以防止垃圾邮件机器人发布，除非他们为你的网站(当你很大的时候)制定了特定的解决方案。

我发现一个很好的解决方案是垃圾邮件机器人不会访问你的文章后48小时后，你发布它。 由于新闻网站上的一篇文章在发布后48小时内就能获得大部分浏览量，因此它允许非注册用户在无需输入验证码的情况下发表评论。

我见过的另一个很好的验证码系统是WebDesignBeach做的。 你有几个对象，你必须拖放一个到一个特定的区域。很有创意，不是吗?

我喜欢在“大rom网络”中使用的验证码: 链接文本

点击彩色的微笑，它很有趣，每个人都能理解…除了机器人哈哈