Спам с формы обратной связи

Ну если ты не можешь даже это нагуглить, то что толку от рассказов...

Я гуглил. Там рассказывается в целом про принцип, а не про конкретную реализацию для защиты форм от нашествия спамеров.

Да вот кто их знает, из каких соображений они это делают. Я не так давно на одном сайте задолбался с ними бороться. У клиента женщины нервные, просят заблокировать спам, а я ничего поделать не могу. Аж голова распухла. У спамеров это иногда дело принципа, и такие встречаются.

Ты же не воспользовался данными два года назад методами... Но что бы ты и не сделал хотя бы проверки на js.. как-то слабо верится.

Странно, что кто-то еще сталкивается с проблемой спама ботами в формы обратной связи.

По этому вопросу консенсус был достигнут еще леть десять назад и найдено эффективное решение.

Видимо, молодежь не в курсе.

Проспамливаются стандартные формы. Нестандартные формы не проспамливаются.

Что делать.

1. Создаём форму руками. Инпуты в ней называем не name, email, message, a произвольным набором букв, чтобы регекспам бота было сложнее их найти. Лейблы подписываем заменяя часть букв на символы юникода. 

2. Кнопку отправки делаем не button-ом, а стильным спаном. На спан навешиваем событие.

3. В событии собираем данные из формы и валидируем их. Затем создаем запрос, сейчас модно делать fetch, в котором отправляем данные на URL, отличающийся от адреса, где расположена форма. В запрос добавляем токен, взятый из хитрого места страницы. Например, из скрытого input-a подальше от формы. Токен простой, например, md5 от юзерагента посетителя или даже произвольное число. Боты его всё-равно не поймут.

4. Дальше валидируем данные на бэкенде и только если всё в порядке, обрабатываем дальше. 

Такую форму, без всякой каптчи, пройдет разве что зенoпоcтер, но он по таким делам обычно не ходит.

Про хонейпот не писал только ленивый. И столько готового кода написано, что если его сложить, то контента получится больше чем на всём сёрче после смены "дизайна". Даже в этом топике после моего поста были описаны принципы, которых вполне достаточно для реализации.

Про таймауты тоже не мало написано.

Вот про nonce хотя и написано не мало, но в приложении к формам не так много. Но какая разница куда его "прилагать", если принцип простой и понятный: сгенерироваол одноразовый код, передал клиенту, получил его от клиента, проверил. Всё.

Там не то что проверка - там были сделаны допполя, задержки, подмены, токены, сессии, - всё, кроме фингерпринта. Работал браузерный бот с поддержкой js, полной загрузкой страницы и имитацией действий реального пользователя, заходящий через торы, прокси, впн по всему миру. Причём смена конфигурации защиты работала только полдня, потом хозяин бота это отслеживал и перенастраивал его. Принципиальный козлина попался.

В целом бесполезная игра. Поля заполняются ботами либо наобум либо после проверки. Даже генерённые одноразовые названия и положение в DOM не спасает ни разу. Спам все равно пройдет, только поля будут спутаны.

На сёрче уже люди делали и рассказывали про такие эксперименты. Ещё лет 10-15 назад, когда боты были тупее.

Это выстрел в ногу (Энтер не отработает). И опять же практически бесполезно - спаммеры сразу отправляют POST.

Это довольно расточительно, при этом никакого ж профита в такой атаке.  (я б ещё понял, если бы это была персональная месть и писались бы соответствующие тексты - сумасшедшие попадаются, да. Но просто спам.. сомнительно)

Во-первых, всё работает. Если разработчик помнит об onsubmit.

Во-вторых, куда отправить POST боты не знают и узнать это им будет сложно.

Какой-то вы нервный, спорите со 100% рабочим несложным способом, непонятно зачем.

Поля боты ищут по regexp name-ов и label-ов. И только потом самые простые пробуют заполнить наугад и сделать submit на URL страницы с формой.  Старые - новые боты, разницы не вижу. Код их смотрел лет пять назад в последний раз, сомневаюсь, что придумали что-то новое.