Вы не можете остановить рассылку спама (люди могут пропустить капчу).
Для предотвращения использования скриптов / роботов существует несколько решений, но они не идеальны.
Сначала вы можете ограничить количество вызовов в конечной точке, используя промежуточное программное обеспечение дросселя на вашей конечной точке.Это ограничит количество вызовов для этой конечной точки.Это может повлиять на количество (реальных) пользователей, которые могут отправить форму.
Еще один способ защиты вашего API - это иметь секретный ключ приложения и ключ приложения (см. Паспорт laravel).Даже форма общедоступна, все вызовы API должны быть авторизованы.Означает, что клиенты должны передавать ключи приложения и секрет при отправке запроса.
Использование CORS может помочь вам разрешать только звонки из определенного домена.По умолчанию пакет Laravel CORS разрешает все домены.Вы можете ограничить это только вашим клиентским доменом.
Надеюсь, это поможет.