我想他们正在研究节流。对于500+ rep的用户禁用CAPTCHA并为攻击者重置rep会更有意义。

我认为文本验证码方法的问题在于文本可以被解析并因此得到回答。

如果你的网站很受欢迎(如Stackoverflow)，人们喜欢代码挂在它(如Stackoverflow)，很有可能有人会把“打破验证码”作为一个挑战，很容易赢得一些简单的javascript + greasemonkey。

因此，例如，在线程的某个地方建议隐藏彩色字母的方法(确实是一个很酷的想法，想法)，可以通过以下示例行简单解析轻松打破:

<div id = "captcha">
 <span class = "red">s</span>
 asdasda
 <span class = "red">t</span>
 asdff
 <span class = "red">a</span>
 jeffwerf
 <span class = "red">c</span>
 sdkk
 <span class = "red">k</span>
</div>

同样，解析这个也很简单:

3 + 4 = ?

如果它遵循模式(x + y)或类似的。

类似地，如果你有一组问题(橙色是什么颜色?比如，白雪公主周围有多少个小矮人?)，除非你有成千上万个小矮人，否则你可以从其中挑选30个，生成一个问答散列，然后让脚本机器人重新加载页面，直到找到这30个小矮人中的一个。

我必须承认我没有对抗垃圾邮件机器人的经验，也不知道它们有多复杂。也就是说，我在jQuery文章中没有看到任何不能纯粹在服务器上完成的事情。

要改写jQuery文章的摘要:

When generating the contact form on the server ... Grab the current time. Combine that timestamp, plus a secret word, and generate a 32 character 'hash' and store it as a cookie on the visitor's browser. Store the hash or 'token' timestamp in a hidden form tag. When the form is posted back, the value of the timestamp will be compared to the 32 character 'token' stored in the cookie. If the information doesn't match, or is missing, or if the timestamp is too old, stop execution of the request ...

如果您希望使用传统的图像CAPTCHA，而不需要在每个请求上生成它们，那么另一种选择是离线预生成它们。然后你只需要随机选择一个来显示每个表单。

这种方法的优点是，对于大多数人来说，CAPTCHA永远不会可见!

我喜欢这个主意，难道我们就不能直接加入代表系统吗?我的意思是，任何拥有100 + rep的人都有可能是人类。所以如果他们有代表，你甚至不需要在验证码方面做任何事情。

然后，如果他们不是，然后发送它，我相信它不会花那么多帖子到100，社区会立即扑向任何似乎是带有攻击性标签的垃圾邮件，为什么不添加一个“报告垃圾邮件”链接，降低200?获得3个，垃圾邮件成就解锁，再见;)

编辑:我还应该补充一点，我喜欢非图像验证码的数学想法。或者是一个简单的谜语类型的东西。可能会让帖子更有趣^_^

令人困惑的一件事是谷歌，显然是世界上拥有最多CS博士的公司，他们的验证码被破坏了，而且似乎没有采取任何措施。

我的解决方案是将表单放在一个单独的页面上，并将时间戳传递给它。在该页上，我只在时间戳有效的情况下显示表单(不要太快，也不要太旧)。我发现机器人总是会直接点击提交页面，只有人类才能正确导航。

不会工作，如果你有内容页本身的形式，就像你现在做的，但你可以显示/隐藏链接到基于NoScript的特殊提交页面。对于这么小比例的用户来说，这是一个小小的不便。