最近，我开始添加一个标签，名称和id设置为“message”。我将它设置为隐藏与CSS(显示:none)。垃圾邮件机器人看到它，填写并提交表单。服务器端，如果文本区域与id名称填写我标记为垃圾邮件。

我正在研究的另一项技术是随机生成名称和id，其中一些是垃圾邮件检查，另一些是常规字段。

这对我来说非常有效，我还没有收到任何成功的垃圾邮件。然而，我的网站的访问者却少得多:)

因此，CAPTCHA对所有用户都是强制性的 除了版主。[1]

这太愚蠢了。所以会有用户可以编辑网站上的任何帖子，但没有验证码就不能发布?如果你有足够的代表投票帖子，你有足够的代表发布没有验证码。如果有必要，可以调高一点。此外，你可以使用大量的垃圾邮件检测方法而无需图像识别，因此即使是未注册的用户也不需要填写那些该死的CAPTCHA表单。

如果您希望使用基于ascii的方法，可以考虑如何集成FIGlet。你可以制作一些自定义字体，并对每个字符进行一些字体选择随机化，以增加熵。字距调整使文本在视觉上更赏心悦目，也使机器人更难进行逆向工程。

如:

    ______           __     ____               _____          
   / __/ /____ _____/ /__  / __ \_  _____ ____/ _/ /__ _    __
  _\ \/ __/ _ `/ __/  '_/ / /_/ / |/ / -_) __/ _/ / _ \ |/|/ /
 /___/\__/\_,_/\__/_/\_\  \____/|___/\__/_/ /_//_/\___/__,__/ 

有史以来最好的验证码!也许你需要像这样的东西来注册，以防止庸人进入。

1)人工求解

这里提到的所有解都被人工求解方法所绕过。一个专业的垃圾邮件机器人拥有数百个连接，当它自己无法解决CAPTCHA时，它会将截图传递给远程人工解决者。

I frequently read that human solvers of CAPTCHAs break the laws. Well, this is written by those who do not know how this (spamming) industry works. Human solvers do not directly interact with sites which CAPTCHAs they solve. They even do not know from which sites CAPTCHAs were taken and sent them. I am aware about dozens (if not hundreds) companies or/and websites offering human solvers services but not a single one for direct interaction with boards being broken. The latter do not infringe any law, so CAPTCHA solving is completely legal (and officialy registered) business companies. They do not have criminal intentions and might, for example, have been used for remote testing, investigations, concept proofing, prototypong, etc.

2)基于上下文的垃圾邮件

AI(人工智能)机器人确定上下文，并在不同时间从不同的IP地址(不同国家)维护上下文敏感的对话。即使是博客的作者也经常不明白评论来自机器人。我不会说太多细节，但是，例如，机器人可以网络抓取人类对话，将它们存储在数据库中，然后简单地重用它们(一个短语一个短语)，所以它们不会被软件甚至人类检测到是垃圾邮件。

投票最多的答案是:

*“理论是: 垃圾邮件机器人不支持JavaScript，只提交它看到的内容 如果机器人支持JavaScript，它会立即提交表单 评论者在发表“*”之前至少阅读了一些页面内容

还有蜜罐答案和这篇文章中的大多数答案都是完全错误的。 我敢说，这是一种注定会成为受害者的方法

大多数垃圾邮件机器人通过来自不同ip(不同国家)的本地和远程javascript感知(补丁和管理)浏览器工作，它们非常聪明地避开了蜜糖陷阱和蜜罐。

不同的问题是，即使是博客所有者也不能经常检测到来自机器人的评论，因为它们实际上来自人类对话和来自其他网络板(论坛，博客评论等)的评论。

3)概念上的新方法

抱歉，我把这部分去掉了

验证码过滤器的一个理论想法。向用户提出一个服务器可以简单回答的问题，用户也可以回答。共享答案成为用户和服务器都知道的一种公钥。

Stack Overflow的相关示例:

用户XYZ有多少声誉点?

提示:查看屏幕侧面的信息，或者点击这个链接。 用户可以从已知的堆栈溢出用户中随机抽取。

一个更一般的例子: 你住在哪里? 你住的地方星期六九点天气怎么样? 提示:使用雅虎天气，并提供湿度和一般条件。

然后用户输入他们的答案

西雅图 部分多云，湿度85%

计算机证实确实是西雅图当时的天气状况。

答案对用户来说是唯一的，但服务器有一种查找和确认答案的方法。

问题的类型可以多种多样。但其思想是，您对人类必须查找的事实组合进行一些处理，服务器可以简单地进行查找。这个过程是一个两部分的对话，需要一定程度的相互理解。这是一种反向转弯测试。让人类证明它可以提供可计算的数据，但它需要人类的知识来产生可计算的数据。

另一种可能的实现。你叫什么名字，什么时候出生的?

人会提供一个已知的答案，计算机可以在数据库中查找信息。

也许一个数据库可以由一个机器人来填充，但机器人需要一些智能来把相关的事实放在一起。服务器端的数据库或查找表可以被系统地删除明显的垃圾信息，如属性。

I am sure that there are flaws and details to be worked out in the implementation. But the concept seems sound. The user provides a combination of facts that the server can lookup, but the server has control over the kind of combinations that should be asked. The combinations could be randomized and the server could use a variety of strategies to lookup the shared answer. The real benefit is that you are asking the user to provide some sort of profiling and revelation of themselves in their answer. This makes it all the more difficult for bots to be systematic. A bunch of computers start using the same answers across many servers and captcha forms such as

我是1972年下午3:45出生的机器人。

然后，这种响应可以被整个网络分析和使用，以阻止机器人，有效地使自动化在几次迭代后变得毫无价值。

As I think about this more it would be interesting to implement a basic reading comprehension test for commenting on blog posts. After the end of a blog post the writer could pose a question to his or her readers. The question could be unique to each blog post and it would have the added benefit of requiring users to actually read before commenting. One could write the simple question at the end of a post with answers stored server side and then have an array of non sense questions to salt the database.

这篇文章谈到紫色验证码技术了吗? 服务器端回答(false, no)

这篇文章是关于验证码的吗? 服务器端回答(是，是)

这篇文章是关于迈克尔·杰克逊的吗? 服务器端回答(false, no)

以随机的顺序提出几个问题，并使这个顺序有意义，这似乎很有用。例如，上面的would = no, yes, no。打乱顺序，问一些无意义的问题，答案是“不是”和“是”。