我编写了一个相当大的新闻网站，一直在摆弄验证码和分析垃圾邮件机器人。

我所有的解决方案都是针对中小型网站的(就像这个主题中的大多数解决方案一样) 这意味着他们可以防止垃圾邮件机器人发布，除非他们为你的网站(当你很大的时候)制定了特定的解决方案。

我发现一个很好的解决方案是垃圾邮件机器人不会访问你的文章后48小时后，你发布它。 由于新闻网站上的一篇文章在发布后48小时内就能获得大部分浏览量，因此它允许非注册用户在无需输入验证码的情况下发表评论。

我见过的另一个很好的验证码系统是WebDesignBeach做的。 你有几个对象，你必须拖放一个到一个特定的区域。很有创意，不是吗?

我的解决方案是将表单放在一个单独的页面上，并将时间戳传递给它。在该页上，我只在时间戳有效的情况下显示表单(不要太快，也不要太旧)。我发现机器人总是会直接点击提交页面，只有人类才能正确导航。

不会工作，如果你有内容页本身的形式，就像你现在做的，但你可以显示/隐藏链接到基于NoScript的特殊提交页面。对于这么小比例的用户来说，这是一个小小的不便。

不是最精致的反垃圾邮件武器，但是微软支持:

Nobot-Control (AjaxControlToolkit的一部分)。

NoBot可以通过违反上述任何技术进行测试:快速回发、多次回发或禁用浏览器中的JavaScript。

演示:

http://www.asp.net/AJAX/AjaxControlToolkit/Samples/NoBot/NoBot.aspx

为什么不设置简单的编程问题，用户可以回答他们最喜欢的语言-然后在服务器上运行代码，看看它是否有效。通过在不同的随机文本上运行答案来避免人工验证码农场。

例子: “从- s = hihiuhi@ewfwef.cfwe提取域名”

用Python回答: return = etc."

类似的领域知识，其他子网站。

所有这些都有可以自动测试的标准公式，但使用随机字符串或值进行测试。

显然，这个想法有很多缺陷;)

另外，每5分钟只允许一次登录尝试。

如果只是检查JavaScript是否启用了呢?

任何使用这个网站的人都肯定会启用它。据人们所说，垃圾邮件机器人不会启用JavaScript。

我个人不喜欢验证码，它损害了可用性，并不能解决使有效用户无效的安全问题。

我更喜欢服务器端的机器人检测方法。由于您拥有有效用户(多亏了OpenID)，您可以阻止那些不“行为”的用户，您只需要识别机器人的模式，并将其与典型用户的模式进行匹配，然后计算两者之间的差异。

Davies, N.， Mehdi, Q.， Gough, N.:使用游戏引擎和AI工具创建和可视化智能NPC http://www.comp.glam.ac.uk/ASMTA2005/Proc/pdf/game-06.pdf

Golle, P.， Ducheneaut, N.:防止机器人玩在线游戏<——ACM门户

Ducheneaut, N.， Moore, R.:《游戏的社交面:大型多人在线游戏中的互动模式研究》

当然，大多数引用都指向电子游戏机器人检测，但这是因为这正是我们小组题为《机器人战争》的论文的主题: 机器人识别的游戏探索。它没有出版，只是学校的一个项目。如果你感兴趣，我可以给你发邮件。事实是，即使它是基于电子游戏机器人检测，你也可以将其推广到网页上，因为用户与使用模式有关。

我非常赞同MusiGenesis的这种方法，因为我在自己的网站上也使用了这种方法，而且效果不错。看不见的CAPTCHA过程是阻止大多数脚本的一种不错的方法，但这仍然不能阻止脚本作者对您的方法进行逆向工程，并在javascript中“伪造”您正在寻找的值。

我会说最好的方法是1)建立一个用户，这样你就可以在他们不好的时候阻止他们，2)确定一种算法来检测典型模式和非典型模式的网站使用，3)相应地阻止该用户。