针对论坛的攻击都是利用软件进行的，无论是破解用户密码还是通过发帖、发短信进行饱和攻击都不是在网页上操作的，软件的速度是很快的，所以就有了验证码，这个验证码是随机生成的，这样就阻止了这类软件。验证码在服务器运算生成，并以图片方式显示，是软件很难捕捉到的。 验证码在服务器生成，并以Session类型变量保存在服务器内存中，而不是浏览器端的Cookie变量，因为Cookie变量容易被调用，不安全。Session类型变量在服务器的默认保留时间是20min，这是Microsoft IIS的默认设置，很多主机商为了提高服务器的效率把这个时间改短了，如果长时间保留大量用户的Session类型变量在内存中既不安全，也会使服务器变慢。所以这不是Bug

评论