2
J'essayais de m'inscrire sur Twitter aujourd'hui et j'ai remarqué que leur formulaire d'inscription n'avait pas de captcha. L'URL du formulaire est https://twitter.com/signup. J'ai également remarqué qu'ils utilisaient une entrée comme ci-dessous.formulaire d'inscription d'utilisateur sans captcha?
<input name="authenticity_token" type="hidden" value="ce803cee65a96aaa97bdf75da166599c3adc9ec8" />
quel type de méthode est-ce? Est-ce qu'ils créent une valeur temporaire dans leur base de données quand un utilisateur accède au formulaire d'inscription?
et le vérifier quand un utilisateur soumet le formulaire?
C'est ce qu'on appelle la protection CSRF, et n'a rien à voir avec les captchas. Nous pouvons imiter le comportement de l'utilisateur et l'inscription à distance en envoyant deux requêtes HTTP conséquentes: Grattage du jeton du résultat de l'ancien et fusion avec les données POST de ce dernier. – sepehr