CAPTCHA должен генерироваться на стороне сервера из-за неявной безопасности. Там нет никакого способа быть уверенным, что все на стороне клиента является безопасным. Поскольку клиентский код GWT превращается в Javascript, вполне возможно, что он может быть изменен. Потенциал для модификации означает потенциально небезопасный контент. Вот почему реализации , подобные этой , все используют код на стороне сервера для генерации, передачи в виде изображения и проверки всех CAPTCHA.