>这很丑陋
这对你的用户来说很烦人.你不应该让他们跳过箍来使用你的网站.

有一些替代方案非常简单,可以非常有效,对(几乎所有)用户都是完全透明的.

>蜜罐字段：使用通用名称(如“网站”)为表单添加一个字段.除此之外,添加一个标签,说明“不要写在这个框中”的内容.使用Javascript隐藏输入和标签.收到表单提交时,如果该字段中有任何内容,请拒绝输入.

拥有JS的用户将看不到它,并且会很好.没有JS的用户只需遵循简单的说明. Spambots会为它而下降并显露自己.
自动人机识别系统：与上述类似.添加一个标签为“Write ‘Alex'”的输入字段(例如).使用Javascript(并且知道大多数自动化的垃圾邮件机器人将不会运行JS),隐藏该字段并使用“Alex”填充.如果提交的表单没有魔术字,则忽略它.

拥有JS的用户将看不到它,并且会很好.没有JS的用户只需遵循简单的说明. Spambots不知道该怎么做,你可以忽略他们的意见.

这将保护您免受垃圾邮件机器人自动化的99.9％.它不会做什么,即使在最轻微的,是保护你反对有针对性的攻击.有人可以自定义他们的机器人,以避免蜜罐或总是填写正确的值.

关于暴力阻止：服务器端解决方案是唯一可行的方法.对于我目前的一个项目,我实施了一个非常类似于你所描述的强力保护系统.这是基于这个Brute Force Protection plugin的CakePHP.

该算法相当简单,但最初有点混乱.

>用户请求一些动作(例如,重置密码)
>运行：DELETE * FROM brute_force WHERE expires<现在()
>运行：

SELECT COUNT(*) FROM brute_force 
WHERE action = 'passwordReset'
AND ip = <their ip address>

>如果计数大于X,则告诉他们等待一段时间.
>否则,运行：

INSERT INTO brute_force (ip,action,expires)
VALUES (<their ip address>,'passwordReset',Now() + Y minutes)

>继续重设密码功能.

这将允许用户仅在Y分钟内尝试重新设置密码X次.按照您的看法调整这些值. 5分钟内可能有3次复位？此外,您可以为每个操作设置不同的值：对于某些事物(例如：生成PDF),您可能希望在10分钟内将其限制为10.