C'è un sito web che ho trovato dove JavaScript gestisce la risposta del CAPTCHA e poi continua a sparare quella che credo sia una richiesta AJAX.
Quindi il flusso è il seguente:
Button -> CAPTCHA-> AJAX
Cosa mi impedisce di dire che licenzierò la richiesta AJAX? È tutto il lato client. Vale la pena provare a scavare attraverso tutto il codice per trovare quella richiesta? Quali sono alcune misure che possono essere utilizzate all'interno di JavaScript in generale per prevenire un caso del genere?