我有一个使用AJAX的注册表单,以便在发生错误(即用户名已在使用)时随时刷新Recaptcha图像。
我正在寻找与ReCaptcha兼容的代码以使用JavaScript重新加载它。
1
不要打扰 如果使用了用户名,为什么还要更改CAPTCHA?
—
SLaks's
@SLaks:可能是因为他先检查了验证码,然后再检查了用户-一旦使用了验证码,该验证码就不再有效。以其他方式对恶意用户执行此操作可以轻松破解服务器并使用蛮力获取所有用户的列表,而不必担心验证码。
—
Tomasz Nurkiewicz 2011年
@TomaszNurkiewicz更新:恶意用户将不能多次提交相同的验证码来进行验证。因此,不可以,在这里无法实现暴力破解。刷新验证码的原因是仅允许用户再次输入验证码。
—
Tony Sepia
我相信熟练的攻击者可以利用定时攻击来确定错误的数据,具体取决于漫游器验证的位置。我宁愿保留我的权限作为第一项检查,如果它们失败则立即拒绝任何操作,这也有助于减轻服务器的负载,因此当它们仍然被拒绝时,我不进行数据库查询
—
Steve Byrne