Snake800

Да уж... Обмельчал народец на серче.

Тема давняя, на серче уже поднималась. Совершенно верно - префетчер игнорирует json-файл настроек, как и просьбу не проксировать в http-заголовках. Поэтому если требуется банить, то тока по ip и заголовкам.

Вторая особенность - поведение CSRF защиты. Префетчер не возвращает куку с токеном, которую он получает вместе с html при запросе формы. Т.е. юзер постит форму без требуемой куки, и значит спам не пройдёт при наличии простейшей csrf защиты. Обратная сторона - честные юзеры тоже не засабмитят форму, пока не обновят страницу. При условии, конечно, что форма и куки отдаются в классическом виде при запросе страницы, а не аяксами например.