ハニーポットの実装の改善（フォームスパム対策）

概念

スパムボットのみが見ることができる非表示フィールドをフォームに追加することにより、スパムボットであり、実際のエンドユーザーではないことを明らかにさせることができます。

HTML

<input type="checkbox" name="contact_me_by_fax_only" value="1" style="display:none !important" tabindex="-1" autocomplete="off">

ここに簡単なチェックボックスがあります：

• CSSで隠されています。
• あいまいですが、明らかに偽の名前です。
• 0に相当するデフォルト値があります。
• オートコンプリートで埋めることはできません
• 経由で移動できません Tab キー。 （ tabindex を参照）

サーバ側

サーバー側では、値が存在し、0以外の値を持っているかどうかを確認し、そうであれば適切に処理します。 これには、試行および送信されたすべてのフィールドのロギングが含まれます。

PHPでは、次のようになります。

$honeypot = FALSE;
if (!empty($_REQUEST['contact_me_by_fax_only']) && (bool) $_REQUEST['contact_me_by_fax_only'] == TRUE) {
    $honeypot = TRUE;
    log_spambot($_REQUEST);
    # treat as spambot
} else {
    # process as normal
}

後退する

これがログの出番です。何らかの理由でユーザーの1人がスパムとしてマークされた場合、ログは失われた情報を回復するのに役立ちます。また、ハニーポットを回避するために将来変更された場合、サイトで実行されているボットを調査することもできます。

報告

多くのサービスでは、APIを介して、またはリストをアップロードすることにより、既知のスパムボットIPを報告できます。 （ CloudFlare など）見つかったすべてのスパムボットとスパムIPを報告することにより、インターネットをより安全な場所にしてください。

高度な

より高度なスパムボットを厳しく取り締まる必要がある場合は、さらにいくつかのことができます。

• ハニーポットフィールドをプレーンCSSの代わりにJSのみで非表示にします
• 実際に使用しない現実的なフォーム入力名を使用します。 （「電話」や「ウェブサイト」など）
• ハニーポットアルゴリズムにフォーム検証を含めます。 （ほとんどのエンドユーザーは、1つまたは2つのフィールドのみを誤って取得します。通常、スパムボットはほとんどのフィールドを誤って取得します）
• 既知のスパムIPを自動的にブロックするCloudFlareなどのサービスを使用します
• フォームのタイムアウトを設定し、すぐに投稿できないようにします。 （ページの読み込みから3秒以内に送信されたフォームは通常スパムです）
• IPが1秒間に複数回投稿しないようにします。
• その他のアイデアについては、こちらをご覧ください： 「核」ハニーポットを作成してフォームスパマーをキャッチする方法