我一直在用下面这个简单的技巧，但也不是万无一失。如果有人真的想绕过这个，很容易查看源代码(即不适合谷歌验证码)，但它应该愚弄大多数机器人。

像这样添加2个或更多的表单字段:

<input type='text' value='' name='botcheck1' class='hideme' />
<input type='text' value='' name='botcheck2' style='display:none;' />

然后使用CSS隐藏它们:

.hideme {
    display: none;
}

在提交时检查这些表单字段中是否有任何数据，如果它们确实未能提交表单。理由是，机器人将读取HTML并尝试填充每个表单字段，而人类不会看到输入字段，并让它们单独存在。

显然，你可以做更多的事情来减少这种利用，但这只是一个基本概念。

在目前的概念中，CAPTCHA是不完善的，而且经常很容易被绕过。现有的解决方案没有一个是有效的——GMail最多只有20%的成功率。

实际情况要糟糕得多，因为这个统计数据只使用了OCR，还有其他方法可以绕过它——例如，CAPTCHA代理和CAPTCHA农场。我最近在OWASP做了一个关于这个主题的演讲，但是ppt还没有上线…

虽然CAPTCHA不能以任何形式提供实际的保护，但如果你想要阻止随意路过的垃圾，它可能足以满足你的需求。但它甚至无法阻止半专业的垃圾邮件发送者。

通常，对于一个有价值的资源需要保护的网站，你需要三个方面的方法:

限制来自认证用户的回复，不允许匿名帖子。 最小化(而不是阻止)来自认证用户的少数垃圾帖子-例如基于声誉的。人工版主在这里也可以提供帮助，但随后你会遇到其他问题——即充斥(甚至淹没)版主，而一些网站更喜欢开放…… 使用服务器端启发式逻辑来识别类似垃圾邮件的行为，或者更好的非人类行为。

验证码可以在第二个方面提供一点帮助，只是因为它改变了经济状况——如果其他方面都到位了，那么为了在如此少量的垃圾邮件中成功突破验证码(最低成本，但仍然是成本)就不再值得了。

同样，不是所有的垃圾邮件(和其他垃圾邮件)都是计算机生成的-使用CAPTCHA代理或农场坏人可以让真人发送垃圾邮件给你。

验证码代理是指他们将你的图像提供给其他网站的用户，如色情网站、游戏网站等。

验证码农场有很多廉价的劳动力(印度、远东等)来解决这些问题……通常每1000个验证码解决2-4美元。最近在Ebay上看到了这个帖子……

当我看到一个关于人类计算的视频(该视频是关于如何使用人类通过游戏来标记图像)时，我有了一个想法来构建一个验证码系统。人们可以使用这样的系统来标记图像(可能用于其他目的)，然后使用关于标记的统计信息来选择适合验证码使用的图像。

假设有一张图片，90%的人都给它贴上了“猫”或“摩天大楼”的标签。然后可以呈现图像，要求图像最明显的特征，这将是图像的主导标签。

这可能超出了SO的范围，但有人可能会发现这是一个有趣的想法:)

实际上，有一个与编程相关的验证码集是一个不错的想法。例如:

有人可能会构建一个语法检查器来绕过这个，但绕过验证码需要做更多的工作。不过，您应该知道有一个相关的验证码。

Mollom是另一个可能感兴趣的askimet类型服务。来自那些编写drupal /运行acquia的人。

非常简单的算术很好。盲人也能回答。(但正如Jarod所说，要注意操作符优先级。)我想有人可以编写一个解析器，但这使得垃圾邮件的成本更高。

足够简单，并且围绕它编写代码并不困难。我看到了两个威胁:

随机的垃圾邮件机器人和可能支持它们的人类垃圾邮件机器人;而且 机器人创建游戏堆栈溢出

通过简单的算术，你可以打败威胁1，但不能打败威胁2。