构建防刷评论体系，实际上是于用户体验跟反作弊二者之间寻觅到一个平衡节点。我见识过超多站长，有的全然不设防，评论区域被机器人充斥满**类广告；有的过度施加防御，弹出验证码、强制进行登录，将真实的用户全都驱赶跑了。这篇文稿主要依据三个维度来予以展开：验证的机制、频率的把控、以及行为的辨析，助力你一步一步地把防刷系统构建起来。

验证码环节怎么选才不会误伤真实用户

好多人只要一说起防刷，就会联想到图形验证码，然而说实话，那种歪向一边、弯弯曲曲的数字字母验证码，对于真实的用户来讲，极不友善，并且在人工智能识图的情形下，也快要跟不存在没什么差别了。

更为值得我去推荐的那种做法乃是将几种无感验证进行组合运用。比如说在开展提交评论这个行为的时候，先去做一道简易的算术题目或者进行一次滑动拼图操作，这般的验证看似是给予用户去操作的，实际上在后端与此同时对鼠标轨迹、页面停留时间这些特征展开了校验。要是你所使用的是WordPress，那么可以考虑把极验或者腾讯防水墙进行集成，它们的免费版本基本上能够满足中小网站的使用需求。

易被忽视的另一细节在于前端隐藏字段，于评论表单之中放置一个借助JS进行填充的隐藏input，其值为固定的时间戳与站点密钥的哈希之和，机器人往往直接提交表单，并不执行JS，此字段将会为空或者出现错误，直接拒绝提交便大功告成，此一步骤配合后端校验，能够挡住九成以上的低级爬虫。

频率限制和IP黑名单怎样配置才不卡正常用户

仅依靠验证码是不行的，还需要在服务器层面进行频率限制，Nginx层面要配合ngx_http_limit_req_module模块，去设置一个恰当的burst值，就如同我自己的技术博客，所配置的是每分钟同一个IP最多能够提交3次评论，要是超出了就会直接返回503，这个值是需要依据你网站的日常流量来加以调节的，流量大的站点能够放宽到5-6次，不然正常用户多刷几次页面就会被限制，体验是非常差的。

推荐使用基于GeoIP的动态更新来处理IP黑名单，诸多刷评论的机器流量源自海外VPS之处，能够编写一个简易的Shell脚本，每日从例如Spamhaus这般的公开黑名单库提取列表，按时更新至iptables规则里给IP列入黑名单，要留意的事项是：务必留出白名单机制，像自身的运营IP或者CDN回源IP之类的，不然若将cdn误封会致使整个网站的访问出现异常。

有一个实战方面的技巧，在评论提交的接口那里添加一个CSRF Token校验，许多现成的防止刷评论的方案实际上已经内置了这个，然而不少站长为了图省事直接就把它关闭了，开启之后不单单是能够防止评论被刷，对于整个表单提交的安全性也会有提升。

评论数据真实性保障要靠行为特征分析

验证以及频率归属于被动防御范畴，主动识别这一行为得依靠行为分析来达成。我给出这样一项建议，即在评论提交之前，采集几个关键特征一并用以提交：用户自页面加载起始以至于提交评论所耗费的时长，鼠标于评论框之内的点击次数，页面滚动深度情况。真实用户从目睹文章开始直至撰写出评论，最少也需要几十秒的时间，其操作轨迹呈现出有序的状态。然而机器人一般在页面加载之后的几毫秒时间内便进行提交，鼠标行为同样是完全随机的直线轨迹形式。

后端把这些数据接住之后，能够运用简单的加权评分模型来做出判断。比如说停留的时间要是少于5秒，那就直接标记成垃圾，滚动深度倘若小于30%，则降低权重。再配合一个简易的评论审核队列，使得疑似垃圾的评论先进入待审核区域，不会对前台展示造成影响，不过后台标记清晰着呢。我自身的做法是，对于评分低于60分的评论，使其自动进入待审核，高于80分的直接发布，处于中间的交叉区间则进行人工抽查。

请记住，有一项关于数据清洗的定期任务，不能遗忘。需要每周运行一次SQL，将那些注册时间极为短暂、评论内容雷同程度较高的记录予以删除，与此同时，还要对用户的信誉分数进行更新。这个分数能够与用户ID进行绑定，信誉较低的用户后续所发表的评论会直接进入审核区域，而信誉较高的用户则可以免予审核。随着时间的长期积累，你网站的用户评论数据会变得愈发干净，对于SEO的正面影响也会越发明显。 http://www.fouwan.com