Спам через formit
Всем привет, не как не могу разгадать загадку, не понимаю как через форму связи приходит спам.
Стоит хук math
Вчера еще добавил поле для ввода mail с валидацией.
В итоге это все не помогает и приходит по 5 писем.
Приходит такая дрянь screenshot.su/show.php?img=b45d655023c0ae58c2f0a1883c48f64c.jpg
Код формы
Стоит хук math
Вчера еще добавил поле для ввода mail с валидацией.
В итоге это все не помогает и приходит по 5 писем.
Приходит такая дрянь screenshot.su/show.php?img=b45d655023c0ae58c2f0a1883c48f64c.jpg
<form>
<div class="form-group">
<label class="sr-only" for="af_name"></label>
<div class="input-group">
<div class="input-group-addon"><i class="fa fa-user"></i></div>
<input type="text" class="form-control" id="af_name" name="name" value="[[+fi.name]]" placeholder="Как вас зовут?">
</div>
<span class="error_name">[[+fi.error.name]]</span>
</div>
<div class="form-group">
<label class="sr-only" for="af_phone"></label>
<div class="input-group">
<div class="input-group-addon"><i class="fa fa-phone"></i></div>
<input type="text" class="form-control" id="af_phone" name="phone" value="[[+fi.phone]]" placeholder="Номер телефона">
</div>
<span class="error_phone">[[+fi.error.phone]]</span>
</div>
<div class="form-group">
<label class="sr-only" for="af_mail"></label>
<div class="input-group">
<div class="input-group-addon"><i class="fa fa-envelope" aria-hidden="true"></i></div>
<input type="text" class="form-control" id="af_mail" name="mail" value="[[+fi.mail]]" placeholder="Контактный Email">
</div>
<span class="error_mail">[[+fi.error.mail]]</span>
</div>
<div class="form-group">
<label class="sr-only" for="af_content"></label>
<div class="input-group">
<div class="input-group-addon"><i class="fa fa-font"></i></div>
<textarea class="form-control" id="af_content" name="content" value="[[+fi.content]]" rows="3" placeholder="Сообщение"></textarea>
</div>
<span class="error_content">[[+fi.error.content]]</span>
</div>
<div class="modal-footer-button">
<button type="submit" class="btn btn-success">Отправить</button>
</div>
[[+fi.success:is=`1`:then=`
<div class="alert alert-success">[[+fi.successMessage]]</div>
`]]
[[+fi.validation_error:is=`1`:then=`
<div class="alert alert-danger">[[+fi.validation_error_message]]</div>
`]]
</form>[[!AjaxForm?
&snippet=`FormIt`
&form=`mail_form_call`
&emailTpl=`email_tpl`
&hooks=`email`
&emailSubject=`Письмо с сайта [[++site_url]]`
&emailTo=`info@xxxxxx.ru`
&validate=`name:required,phone:required,content:required,mail:email:required`
&validationErrorMessage=`В форме содержатся ошибки!`
&successMessage=`Сообщение успешно отправлено`
]]
12 мая 2016, 08:50
Комментарии: 26
Прикол в том что hidden поля роботы не заполняют, соответственно такой трюк не пройдет. Я делал по-другому. Поля оставлял видимым, но с посредством стилей сдвигал его за пределы блока, чтобы обычному пользователю его видно не было и он его не заполнял, а робот заполняет это поле — и не проходит валидацию.
если помогло, спама нет, и можно отправлять сообщения — то все верно -)
можно наделать таких «виртуальных» полей (скрытых через css) несколько, к примеру:
user, city, country — и заполнять их на автомате перед отправкой формы через javascript. Затем проверять на совпадение на серверной части. У ботов почти всегда отключен javascript — слишком для них это затратно (по ресурсам — на каждый сайт включать java-машину). Также, если у тебя сайт не супер-популярный, никто не будет заморачиватся писать бота специально для обхода таких нехитрых анти-спам мер.
Я считаю, каптча — это очень крайний способ защиты от спама, когда на простые методы защиты, спамеры тут же адаптируют своих ботов. Но вот в моей практике такого не случалось.
можно наделать таких «виртуальных» полей (скрытых через css) несколько, к примеру:
user, city, country — и заполнять их на автомате перед отправкой формы через javascript. Затем проверять на совпадение на серверной части. У ботов почти всегда отключен javascript — слишком для них это затратно (по ресурсам — на каждый сайт включать java-машину). Также, если у тебя сайт не супер-популярный, никто не будет заморачиватся писать бота специально для обхода таких нехитрых анти-спам мер.
Я считаю, каптча — это очень крайний способ защиты от спама, когда на простые методы защиты, спамеры тут же адаптируют своих ботов. Но вот в моей практике такого не случалось.
вроде как спамеры давным давно научились считать текстовые капчи. Тут нужно проявить фантазию, и к примеру задавать такие формулы: 5 + x = 7, а на месте X — ставить input с возможностью ввода ответа. На все это заморачиваться не стоит — если простое скрытие «ловушечных» input'ов через css работает.
На данный момент, полет нормальный, нет спама, подожду еще 1-2 недели и оставлю свой вердикт, может кому будет полезна наша дискуссия.
Но пока вариант такой:
1) Валидация по email — не спасает
2) хук spam — не спасает
3) хук math — не спасает (и вообще странно, мне кажется его как то обходят и не заполняют, не думаю что в ручную вбивают)
Единственное, что помогло — скрытое поле стилями.
И вопрос, может кто знает как сделать ограничение в отправке формы по времени, например 1 письмо в 20 сек.
Но пока вариант такой:
1) Валидация по email — не спасает
2) хук spam — не спасает
3) хук math — не спасает (и вообще странно, мне кажется его как то обходят и не заполняют, не думаю что в ручную вбивают)
Единственное, что помогло — скрытое поле стилями.
И вопрос, может кто знает как сделать ограничение в отправке формы по времени, например 1 письмо в 20 сек.
окей, тогда вот такой рецептик modx.pro/help/7830/#comment-54990
хотя я не видел таких ботов, которые занимаются распарсиванием стилей. Тут 1- нужно чтобы бот был «всеядный» — мог отправлять формы любых типов, с любым количеством input'ов 2- мог анализировать какие поля и где заполнять, т.е. парсить стили. Что-то я не встречал такого. Только если вручную кто-то адаптирует какой-нибудь allsubmitter или xrumer под ваш сайт. Но сайт должен для спамера представлять особый интерес в таком случае. Вот тут уже в дело должна пойти каптча.
хотя я не видел таких ботов, которые занимаются распарсиванием стилей. Тут 1- нужно чтобы бот был «всеядный» — мог отправлять формы любых типов, с любым количеством input'ов 2- мог анализировать какие поля и где заполнять, т.е. парсить стили. Что-то я не встречал такого. Только если вручную кто-то адаптирует какой-нибудь allsubmitter или xrumer под ваш сайт. Но сайт должен для спамера представлять особый интерес в таком случае. Вот тут уже в дело должна пойти каптча.
До недавнего времени мне помогало такое решение, но сейчас роботы поумнели
Пришлось добавить кнопку «Я не робот», которая в div подгружает кнопку отправить.
Причем, эта кнопка находится вне тегов {form} {/form}
Капчу совсем не хотелось ставить
&hooks=`spam,email`
&validate=`additionalemail:blank`<input type="hidden" name="additionalemail" value="" />
<input type="hidden" name="nospam:blank" value="" />Пришлось добавить кнопку «Я не робот», которая в div подгружает кнопку отправить.
Причем, эта кнопка находится вне тегов {form} {/form}
<script>
$(document).ready(function() {
$(".norobot").click(function() {
$(".norobotarea").html('<button type="submit" class="button transition-03 smooth">Отправить</button>');
});
});
</script>Капчу совсем не хотелось ставить
math помогает от спама! но у FormIt 2.2.8 странная особенность хук math должен стоять первым:
[[!FormIt?
&hooks=`math,email,spam,FormItAutoResponder,FormItSaveForm,redirect`
&emailTpl=`tpl.FeedBackMe`
&emailSubject=`Новое сообщение с формы обратной связи`
&emailTo=`mail@mail.mail`
&emailFromName=`[[++site_name]]`
&emailFrom=`noreply@mail.ru`
&validate=`workemail:blank,math:required`
&fiarTpl=`tpl.FeedBackClient`
&fiarSubject=`Новое сообщение с формы обратной связи`
&fiarToField=`email`
&fiarFromName=`[[++site_name]]`
&fiarFrom=`noreply@mail.ru`
&fiarReplyTo=`noreply@mail.ru`
&redirectTo=`28`
]]<tr>
<td>Код безопасности <font color="red">*</font> [[!+fi.op1]] [[!+fi.operator]] [[!+fi.op2]]:</td>
<td>
<input type="text" name="math:required" size="6" maxlength="5" style="text-align:center;" value="[[!+fi.math]]">
[[!+fi.error.math]]
<input type="hidden" name="op1" value="[[!+fi.op1]]" />
<input type="hidden" name="op2" value="[[!+fi.op2]]" />
<input type="hidden" name="operator" value="[[!+fi.operator]]" />
</td>
</tr>
<tr><td colspan="2" align="center">
<input type="submit" value="Отправить сообщение"></td></tr>
Спасибо за ответ, но посмотрел ваш вариант и мой, у меня сейчас фактически так-же все и не помогает:
<form>
<div class="form-group">
<label class="sr-only" for="af_name"></label>
<div class="input-group">
<div class="input-group-addon"><i class="fa fa-user"></i></div>
<input type="text" class="form-control" id="af_name" name="name" value="[[+fi.name]]" placeholder="Как вас зовут?">
</div>
<span class="error_name">[[+fi.error.name]]</span>
</div>
<div class="form-group">
<label class="sr-only" for="af_phone"></label>
<div class="input-group">
<div class="input-group-addon"><i class="fa fa-phone"></i></div>
<input type="text" class="form-control" id="af_phone" name="phone" value="[[+fi.phone]]" placeholder="Номер телефона">
</div>
<span class="error_phone">[[+fi.error.phone]]</span>
</div>
<div class="form-group">
<label class="sr-only" for="af_mail"></label>
<div class="input-group">
<div class="input-group-addon"><i class="fa fa-envelope" aria-hidden="true"></i></div>
<input type="text" class="form-control" id="af_mail" name="mail" value="[[+fi.mail]]" placeholder="Контактный Email">
</div>
<span class="error_mail">[[+fi.error.mail]]</span>
</div>
<div class="form-group">
<label class="sr-only" for="af_content"></label>
<div class="input-group">
<div class="input-group-addon"><i class="fa fa-font"></i></div>
<textarea class="form-control" id="af_content" name="content" value="[[+fi.content]]" rows="3" placeholder="Сообщение"></textarea>
</div>
<span class="error_content">[[+fi.error.content]]</span>
</div>
<div class="form-group">
<label class="sr-only" for="af_math"></label>
<div class="input-group">
<div class="input-group-addon"><i class="fa fa-exclamation-triangle" aria-hidden="true"></i></div>
<!--label>[[!+fi.op1]] [[!+fi.operator]] [[!+fi.op2]]</label-->
<input class="form-control" type="text" name="math" value="[[!+fi.math]]" placeholder="Сколько будет? [[!+fi.op1]] [[!+fi.operator]] [[!+fi.op2]] = *" />
<input type="hidden" name="op1" value="[[!+fi.op1]]" />
<input type="hidden" name="op2" value="[[!+fi.op2]]" />
<input type="hidden" name="operator" value="[[!+fi.operator]]" />
<!--textarea class="form-control" id="af_content" name="content" value="[[+fi.content]]" rows="3" placeholder="Сообщение"></textarea-->
</div>
<span class="error_math">[[+fi.error.content]]</span>
</div>
<div class="modal-footer-button">
<button type="submit" class="btn btn-success">Отправить</button>
</div>
[[+fi.success:is=`1`:then=`
<div class="alert alert-success">[[+fi.successMessage]]</div>
`]]
[[+fi.validation_error:is=`1`:then=`
<div class="alert alert-danger">[[+fi.validation_error_message]]</div>
`]]
</form>[[!AjaxForm?
&snippet=`FormIt`
&form=`mail_form_call`
&emailTpl=`email_tpl`
&hooks=`math,spam,email`
&emailSubject=`Письмо с сайта [[++site_url]]`
&emailTo=`info@site.ru`
&validate=`math:required,name:required,phone:required,content:required,mail:email:required`
&validationErrorMessage=`В форме содержатся ошибки!`
&successMessage=`Сообщение успешно отправлено`
&mathMinRange=`1`
&mathMaxRange=`10`
]]
Вроде reCAPTCHA modx.pro/components/4902-new-google-recaptchav2-for-formit/ тоже сейчас достойный ответ спаму.
Ставил в очередной раз вчера. Хлопот ноль. Только получить коды тут
Ставил в очередной раз вчера. Хлопот ноль. Только получить коды тут
достаточно сложно ее ставить— нет. Получение ключа и установка даже проще вашего решения. Я не приукрашиваю.
1. перешли поссылке
2. просто вписали домен и получили ключи
3. вписали ключи в настройки
4. добавили в форму два тега.
Недавно сам столкнулся со спамом через FormIt, сразу вспомнил этот тикет! )
Я создал скрытое поле со значением текущего timestamp, потом в прехуке проверял с текущим timestamp'ом при сабмите формы, если разница меньше чем 5 секунд, то посылал бота к чертям. Время можно увеличить и до 20 секунд вполне. Засеките сами время, за которое вы заполните все поля. Не думаю, что спам боты сидят на сайте долгое время, только если не написаны на PhantomJS.
Я вот так избавился!
Я создал скрытое поле со значением текущего timestamp, потом в прехуке проверял с текущим timestamp'ом при сабмите формы, если разница меньше чем 5 секунд, то посылал бота к чертям. Время можно увеличить и до 20 секунд вполне. Засеките сами время, за которое вы заполните все поля. Не думаю, что спам боты сидят на сайте долгое время, только если не написаны на PhantomJS.
Я вот так избавился!
Я обычно делаю пустое поле text с распространенным именем, скрытое стилями. И проверяю пустое оно или нет. Боты его заполняют, так как для них это обычное поле, а пользователи не видят, поэтому незаполняют, если оно прилетело пустое, то заполнил его пользователь, если не пустое, то бот.
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
Здесь упомянуты:
| Компонент | Текущая версия | Закачки |
| AjaxForm | 1.2.2-pl от 17.10.2021 | 19 660 |
| Tickets | 1.13.0-pl от 10.03.2020 | 19 598 |
01 ноября 2025, 14:49
Очень, очень ждем =)
01 ноября 2025, 10:54
Каждое предработное утро я начинаю с чтение новостей. И первым всегда идёт MODX.pro.
От такого дайджеста на меня костюм-тройка чуть сам не налез, б...
01 ноября 2025, 10:49
Собственно переговоры прошли успешно, в понедельник передаст мне компонент, к концу месяца будет работать.
30 октября 2025, 19:01
Два дня проковырялся, пытаясь сделать по этому конфигу.
Один сайт сразу завелся, остальные вместо перехода на страницу редиректят на главную — чудо н...
30 октября 2025, 17:34
да да, могу пообедать?
28 октября 2025, 22:14
Сам себе отвечу: так как FormIt умеет только прикреплять файл к письму, для чего он файл грузит во временную директорию, надо отдельным хуком переноси...
28 октября 2025, 18:31
Не заработало((
MODX 2.8.8
26 октября 2025, 19:22
всё, спасибо.
надо было понизить версию PHP -_//
