功能预告： hcapcha 验证码

admin

最近站长调试了一下 hcaptcha 的验证码，集成不难，就是前端引入 hcaptcha 的 js 脚本加载<iframe>，然后后端负责收集 POST 数据交给 hcaptcha 验证。主要是找准确的 express 一堆路由中间件里面的 hook 点花了一些时间，理解 html 模板渲染机制花了一些时间，理解用户登录流程花了一些时间，和 CDN 缓存斗争又花了一些时间，得到的教训是改 Regex 规则以后清理缓存的范围几乎必然会大于新旧 Regex 匹配规则之和……都是泪啊

总之 hcaptcha 功能应该是没问题，就等上线了。目前的计划是访客第一次访问（获取合法 session ）时强制跳转到验证码界面，然后不影响已登录用户，并且已登录用户注销以后，后端颁发的游客 session 里面免除 hcaptcha 验证码。这个比较方便注册用户切换帐号使用（目前 NodeBB 不支持一个浏览器配置文件（profile）登录多帐号），不需要临时退出也要填验证码。当然第一次注册的新用户就没办法了，必须先填验证码才能进注册界面。

站长清楚验证码多少都是影响用户体验的，但是本站实在不是什么资金雄厚到不怕 bot 刷流量的巨头，也不想一刀切关闭游客访问，但是游客本身也很难筛选“正常游客”和“非正常游客”，再加上本站也首先是服务p大用户为初衷，不希望引入太多非p大用户分散话题（虽然引入t大等高校可以考虑），所以就出了这个算是折衷的方案。

替代方案可能有用浏览器指纹，可能比 captcha 侵入性更小，不过可能要收费，而且站长不清楚可靠性如何。（本站暂时不打算支持 noscript 访问，虽然 noscript 支持对注册用户也可以做）

游客

@admin 支持，听说之前好多树洞和机场都遭受过DDoS攻击，能有所防范当然是坠好的！