最好的验证码系统是那些在计算机科学中滥用P=NP问题的系统。自然语言问题可能是这些问题中最好的，也是最容易被滥用的。任何可以通过简单的谷歌查询和一些检查来回答的问题(例如，太阳系中的第二颗行星是什么?是个好问题，而2 + 2 = ?在那种情况下，他是一个有价值的候选人。

虽然我们都应该知道基本的数学，但这个数学难题可能会引起一些困惑。在你的例子中，我相信有些人会回答“8”而不是“1”。

用粗体或斜体突出显示随机字符的简单文本字符串是否合适?用户只需要输入粗体/斜体字母作为验证码。

例如ssdfatwerweajhcsadkoghvefdhrffghlfgdhowfgh

在这种情况下，“堆栈”将是验证码。 显然，这个观点有很多不同的版本。

编辑:解决与此想法相关的一些潜在问题的示例变体:

使用随机颜色的字母代替粗体/斜体。 使用每秒钟红色字母作为验证码(减少机器人识别不同格式的字母来猜测验证码的可能性)

@lance

谁说每个请求都必须在服务器上创建所有映像?也许你可以有一个静态的图片列表，或者从Flickr中获取它们。我喜欢“点击小猫”验证码的想法。http://www.thepcspy.com/kittenauth。

如果从静态图像列表中提取，绕过CAPTCHA就变得很简单，因为人类可以对它们进行分类，然后机器人就可以轻松地回答这些挑战。即使机器人不能回答所有问题，它仍然可以发送垃圾邮件。它只需要能够回答一小部分的验证码，因为当尝试失败时，它总是可以重试。

这实际上也是谜题的问题，因为拥有大量挑战是非常困难的。

有史以来最好的验证码!也许你需要像这样的东西来注册，以防止庸人进入。

除非我遗漏了什么，否则使用reCAPTCHA有什么问题，因为所有的工作都是在外部完成的。

只是一个想法。

我开发的一个方法，似乎工作得很完美(虽然我可能不会像你一样收到那么多评论垃圾邮件)，是有一个隐藏字段，并填充一个虚假的值，例如:

<input type="hidden" name="antispam" value="lalalala" />

然后，我有一段JavaScript，它每秒更新的值与页面已加载的秒数:

var antiSpam = function() {
        if (document.getElementById("antiSpam")) {
                a = document.getElementById("antiSpam");
                if (isNaN(a.value) == true) {
                        a.value = 0;
                } else {
                        a.value = parseInt(a.value) + 1;
                }
        }
        setTimeout("antiSpam()", 1000);
}

antiSpam();

然后当表单提交时，如果反垃圾邮件值仍然是“lalalala”，那么我将其标记为垃圾邮件。如果反垃圾邮件值是整数，我会检查它是否大于10(秒)。如果低于10，我把它标记为垃圾邮件，如果超过10，我就让它通过。

If AntiSpam = A Integer
    If AntiSpam >= 10
        Comment = Approved
    Else
        Comment = Spam
Else
    Comment = Spam

理论是:

垃圾邮件机器人不支持JavaScript，只提交它看到的内容 如果机器人支持JavaScript，它会立即提交表单 评论者在发帖前至少阅读了一些页面内容

这种方法的缺点是它需要JavaScript，如果您没有启用JavaScript，您的评论将被标记为垃圾邮件，但是，我确实会查看标记为垃圾邮件的评论，所以这不是问题。

回应评论

@MrAnalogy:服务器端方法听起来是一个很好的想法，和在JavaScript中完全一样。良好的电话。

@AviD:我知道这种方法很容易受到直接攻击，就像我在博客上提到的那样。然而，它将防御你的平均垃圾邮件机器人盲目提交垃圾的任何形式，它可以找到。