应采用五类防护策略:一、增加噪声点、干扰线和高斯纹理等图像干扰;二、逐字符动态扭曲轮廓;三、混合多字体与随机字号;四、绑定时间敏感Token校验;五、实施客户端行为前置验证。
如果您的网站使用PHP生成的验证码图片被自动化工具频繁识别并绕过,则可能是由于验证码缺乏足够的干扰性或生成逻辑过于简单。以下是防止验证码被机器识别的多种防护策略:
一、增加图像干扰元素
通过在验证码图像中添加噪声点、干扰线、背景纹理和颜色渐变,可显著降低OCR工具与深度学习模型的识别准确率。这些干扰需保持人类可读性,但对机器构成视觉混淆。
1、使用GD库在图像上绘制随机位置的彩色噪点,数量控制在总像素的0.5%–2%之间。
2、在字符前后叠加2–3条非闭合的贝塞尔曲线干扰线,线条宽度设为1–2像素,颜色从背景色系中随机选取。
立即学习“PHP免费学习笔记(深入)”;
3、为背景填充轻微的高斯噪声纹理,使用imagefilter($img, IMG_FILTER_SELECTIVE_BLUR)配合低强度透明度叠加。
二、动态扭曲字符轮廓
固定字体与直线排列的字符易被模板匹配或CNN模型定位识别。采用逐字符独立变形方式,破坏字符的空间规律性,提升分割难度。
1、将每个验证码字符分别渲染为独立图层,避免整体旋转导致的边缘留白暴露字符宽度。
2、对每个字符图层应用sin/cos函数驱动的水平/垂直波浪形位移,振幅控制在字体高度的15%以内。
3、调用imagerotate()对单个字符进行±8°以内的随机微旋转,中心锚点设为字符几何中心而非图像左上角。
三、使用多字体混合与随机字号
单一字体和固定字号构成稳定特征向量,便于机器构建字符样本库。混合字体与动态字号能瓦解基于像素统计的分类器训练基础。
1、预置至少5种无版权开源TrueType字体(如DejaVu Sans、Liberation Mono、Noto Sans等),每次生成时随机选取3种分配给4–6位字符。
2、每位字符单独设置字号,范围限定在14px–20px之间,且相邻字符字号差值不小于2px。
3、启用font-smoothing: subpixel-antialiased模拟CSS渲染效果,通过imagettftext()的angle参数配合微小倾斜增强模糊感。
四、引入时间敏感型动态Token校验
仅依赖图像本身无法防御截图+离线识别攻击。将验证码图像与服务端瞬态会话绑定,可阻断重放与异步识别流程。
1、生成验证码图像前,先在$_SESSION中写入唯一token键,值为当前microtime(true)与密钥hash后的十六进制字符串。
2、将该token作为URL参数嵌入验证码图片请求路径(如/captcha.php?_t=abc123),但不在HTML中明文输出。
3、在图像输出头部调用header('X-Verify-Token: ' . $_SESSION['captcha_token']),前端提交表单时由JavaScript读取该响应头并附带提交。
五、实施行为式前置验证
在验证码展示前插入轻量级客户端行为检测,过滤明显非人操作序列,减少恶意请求抵达验证码环节的概率。
1、页面加载后启动计时器,记录用户首次鼠标移动、键盘按键、滚动事件的时间戳,若三者间隔均小于150ms则标记为可疑。
2、注入隐藏input字段,其name属性由JS动态拼接两个随机字符串,value为当前时间戳异或一个服务端下发的salt值。
3、表单提交时,PHP后端验证该隐藏字段是否存在、是否被篡改,并检查时间戳是否在服务端当前时间±3秒范围内,超时或缺失即拒绝返回验证码校验入口。
