Citat:
Ursprungligen postat av SimonP
Det är enkelt att automatisera sökningar trots att man använder sessionsvariabler. Bättre att använda Captcha, eller att göra en helt egen sessionshantering där man sätter begränsningar per IP-nr. På vilket sätt skulle checkToken skydda mot direktanrop? Mig veterligen skyddar det enbart mot CSRF.
|
checkToken sätter en random sträng i session, och skickar den med formuläret. Om denna token inte stämmer med den i session är något fel.
Det kräver att man först hämtar formulärsidan, lagrar cookies och de fält som finns i formuläret för att sedan skicka dem med egna värdet. Vet inte hur sofistikerade dessa spam-bots är, så detta kanske är en "för enkel" lösning.
Jag vill bara undvika så ingen "pollar" min sida för att kolla om domäner är lediga. Inget mer än så...