保留点 Cookie 算啥，Chrome 访问 Google 自家的网站 HTTP 请求头都会带上 x-client-data 设备 ID 呢。

另外漏了一点，需要在 cookie 之外的本地存储里放一些持久信息，例如 localStorage、etag、cache 等。这样必须全都获取到才行。

就算上了 https 仍会被劫持，因为 —— 没加 secure 同样会在三方站被劫持。

另外，就算加了 secure 还是会被劫持，因为还有无数恶意浏览器插件、系统病毒木马等等。。。（之前工作就是做 Web 劫持研究的，系统级的劫持远高于链路~）

所以，最关键的，是需要通过 前端 JS 给 cookie 里重要参数进行签名加密。算法必须是非标准的，否则抓到密钥就被破解了。但也不能自己胡编乱造，在标准算法基础上进行扩展，密码学安全性不是最重要的，算法复杂度才是关键。

另外算法必须强烈依赖 DOM API，并且内部有检查控制台、常用模拟器等调试环境，防止被整个算法被拔走当做黑盒调用。当然后期还是依靠对抗，破解了再更新，必要的话加上行为采集，防止被自动化工具计算。

@Bakumon 访问的是 https://alert.fun 吗？

@biabia123456 多刷几次就可以。我给限制每个 IP 每秒只能请求 2 次~

@whypool 暂时还没有- -

@caomu 是的。国内很多劣质路由器（比如之前的 TP-LINK ）一个 GET 请求就可以修改 DNS 地址，没有任何 referrer 校验。还是很危险的。

@Wincer 感觉 SVG 挺危险的，矢量渲染很耗性能，要是放几百万个元素不知浏览器会不会卡死。然而几百万个元素用 gzip 或者 brotli 压缩之后才一点点大~

@codehz @Perry 试了下 foreignObject 是可以的啊

@Mutoo 不用。SVG 可以通过 foreignObject 嵌入 HTML。

@likuku 简单的规则一般都在云平台上配置，比如封 IP 封端口等等，复杂的策略貌似不容易实现，而且不同的云平台支持的策略都不一样吧。之前用阿里云，好像只支持最基本的一些拦截策略，而且规则还有 100 条上限。。。

@whileFalse 所以说强制要求大小写英文数字特殊字符组合没意义啊，还不如提示安装一个密码管理器。

@DOLLOR 一个常量 0 都没用上。。。还出现 xo1 非符号字符了- -

每次看见要求“大小写英文数字特殊字符组合 == 安全性高”就烦，大部分人加上的符号还不是有规律的，还是低熵口令。事实上一串 16 位的随机数日常应用中就非常安全，除非明文状态泄露。

@topsy 还有两个 0 没用上。。。8 楼也是 14 字符。

@alwayshere 视觉残缺之前在验证码上试过，非常明显。如果用在观赏性场合的话，体验会非常差。

事实上，像这种场合并不需要残缺，只需对图片进行局部动态调整也可以。例如通过 canvas 把某个随机区域的色调进行少量调整。或者加一些渐隐渐现、位置随机的水印特效也可以。这样任何时候截的图都不是原图，并且对视觉干扰不大。