У меня несколько сайтов на одной площадке. На всех формы стоит пассивная защита, скрытое поле которое должно остаться пустым, в поле имя разращено вводить только русские буквы, у еще одного поле с минимальным количеством вводимых символов. Что самое странное, те спамные письма, которые приходят, имеют в поле с ограничением по числу вводимых символов, меньше символов чем дозволено. И спам приходит только на те сайты которые на http, на сайты с https спам не приходит. Может конечно совпадение, но довольно странное.
то самое странное, те спамные письма, которые приходят, имеют в поле с ограничением по числу вводимых символов, меньше символов чем дозволено.
Видимо защита на клиенте, а это никак не мешает отправить post запрос. Сделайте ajax форм и запретите кроссдоменные запросы. Ну и валидацию на сервере реализуйте обязательно.
Вообще валидация на клиенте, это не защита, это удобство для пользователя. Она обходится без проблем. Так что если и реализовывать валидацию, как защиту, то на сервере.