防范垃圾表单提交

这两天一直在修一个站点，简单展开一下。

这个站点的业务非常简单，就是一个正常的电商站点，按照我自己的理解，这种简单结构网站的技术细节并不复杂。

但是看网站的具体表现，发现情况好像并不是那么一回事。

最直观的感受就是网站的打开速度非常慢，且打开多个页面时的响应需要等待很久很久，偶尔还伴随着页面的直接崩溃。

碰到这种情况，第一反应自然是用工具测试一下速度，结果显示在移动端的分数只有 30 多，在桌面端也只有 50 多。

于是继续看主机数据，发现服务器的 CPU 负荷基本天天都是 100%，也就是主机在满负荷运转。

起初我还怀疑是不是得罪同行被 DDoS 攻击了，或者是不是有网络爬虫在大批量访问小语种链接。

但直到进入后台才发现问题所在，那就是网站装了非常多用户监控插件与性能提升插件，并且还接入了谷歌的反垃圾流量的 reCAPTCHA API。

问题定位到了，剩下就是一个一个优化了，都是苦力活。

其实数据监控这块，我自己是不建议直接在网站上安装插件来跟踪访客数据的，毕竟这种插件对主机性能的要求很高。

另外这种插件监控的访客都不是很准确，无论是 WordPress 系统上的还是 Shopify 系统上。

可能是因为没有过滤流量类型的缘故，导致很多插件系统将 API 资源访问或者爬虫访问都统计进去了，就有点类似 CloudFlare 里面的流量数据统计（至于具体怎么过滤我倒是没有研究）。

除了这个点外，还有便是对垃圾流量提交表单数据的屏蔽。

有些小伙伴喜欢在全局使用 reCAPTCHA 这类功能区屏蔽垃圾流量，不仅在表单提交时添加这部分验证，还有些直接在访问页面时添加这种功能。

但问题是一旦加上这种全局设置，必然会导致用户的访问体验不佳。

所以我倾向的使用干扰程度小的操作。

比如 CloudFlare 的提供的真人验证就挺不错的，只有当用户在提交表单时才触发校验，轻轻点击一下便可以通过验证，至于其他的操作则一概不管。

还比如在表单提交时，加一道数学题来验证是不是真人，通过简单的「1+1」这种问题便能在很大程度上过滤掉机器人流量。

此外，我还见过通过设计表格里面的动态数据规则来验证是否是真人的案例，不管怎样适合自己就好了。