Perché i browser non hanno la possibilità di distinguere tra eventi attivati tramite dispositivi di input e script ex: element.onEvent ()? Non sarebbe un modo molto semplice di contrattaccare i bot spam? O vado via così?
Il modello di eventi di javascript è del tutto irrilevante rispetto al funzionamento dei robot di spam. I robot spam funzionano inviando moduli al server, non eseguendo codice sul browser client. In effetti, la maggior parte dello spam inviato dai bot non avrebbe mai avuto un "browser".
Avresti bisogno di un modo per distinguere tra un modulo sottoposto a bot e un modulo inviato dall'utente, che in realtà non è possibile (dopotutto, il bot ha solo bisogno di "copiare" ciò che un utente avrebbe inviato e lì " Non c'è modo per il server di dire la differenza).
Inoltre, una cosa che ho notato di recente è che un sacco di "spam" (ad esempio spam nei blog, ecc.) non è più presentato in modo automatico. Captcha e verifica della posta elettronica, ecc. Hanno reso più conveniente per gli spammer impiegare persone nei paesi del terzo mondo un paio di centesimi all'ora per entrare manualmente e inviare il loro spam. Quindi qualsiasi tecnica che si basa sulla differenziazione tra umani e robot sta diventando sempre meno efficace.
Probabilmente perché il gestore di eventi è semplicemente una funzione come le altre. Se inserisci un argomento "sorgente", tutto il codice dannoso dovrebbe essere chiamato manualmente il gestore di eventi e passare il valore "da input dell'utente".
Leggi altre domande sui tag javascript security browser jquery