В настоящее время я использую Google reCAPTCHA v3 для защиты формы. Как правило, это работает так, что когда пользователь отправляет форму, токен ответа пользователя генерируется и передается на сервер, который затем перенаправляет токен в API проверки Google для получения оценки.
Я обнаружил, что для определенных атак токен пользовательского ответа отсутствует, поскольку злоумышленник отправляет свой запрос POST на мой сайт напрямую, а не через форму. Это хорошо, потому что это делает очевидным, что они должны быть отклонены. Но мне интересно, должен ли я go заблаговременно и в любом случае отправить в Google запрос на подтверждение без маркера, зная, что он потерпит неудачу.
Я спрашиваю, потому что, насколько я понимаю, reCAPTCHA собирает информацию о деятельности моего сайта с течением времени, используя ее для точной настройки своих оценок. Я не знаю, как это сделать, поэтому я не знаю, было бы полезно использовать API проверки, даже если я уже знаю, каким должен быть результат.