Как защитить сайт от ботов и автоматов?

SEOD, для начала - нужно, чтобы боты заметили сайт с формой ;)
А вот как заметят, там уже совсем другая история....

Заполнили поля формы быстрее 5 секунд (после запроса к генерации через AJAX) - получите каптчу сообщение "Что-то пошло не так!" с занесением IP-шника (или даже подсети класса C) в BLOCK-лист на час. (это самое простое правило поведенческого фильтра)

Как ограничить доступ к api сайта?

Alex Wells, ты глупый или прикидываешься?

и логика приложения не позволяет вводить авторизацию.

Не откроет JS за 5 секунд вручную, а уж тем более, динамически сгенерированный и с уникальной логикой и "телом", да ещё и с обфускацией.
Код приложения клиента (на фронте) - мы не обфусцируем! Обфусцируем только JS-задачу, срок актуальности которой 3-5 секунд (здесь нечего поддерживать, после того, как всё начнёт работать).

Как ограничить доступ к api сайта?

Кирилл Горелов, Лично я - считаю свой метод каким-то корявым)))
Наверное есть что-то более рациональное... (просто думать надо дольше))))

Как ограничить доступ к api сайта?

Кирилл Горелов,

Но очень интересная задача.

Я вот только двойной запрос с JS-таском и промежуточным 3-5сек. токеном придумал. Может это и не совсем красиво... Но, должно работать исправно, чтобы не давать доступ из нативных приложений.
От headless - тоже можно защититься, найдя любую разницу в работе функций HTML5 (она всегда есть).

Как ограничить доступ к api сайта?

Кирилл Горелов, ща вот даже с jwt - таже история: 3-х сторонний обмен с одним общим публичным ключом (или с авторизацией) - тоже можно сделать где угодно (любой нативный самописный клиент).

Как ограничить доступ к api сайта?

Кирилл Горелов, принадлежат - они одному, а выполнить запрос с помощью этого ключа (он же на фронте должен быть) может выполнить кто угодно просто используя этот ключ в нативном приложении, например. (или я не прав?...)

Как ограничить доступ к api сайта?

Кирилл Горелов, речь про то, что заполнить поля, создать подпись и вернуть подпись с ключом - может любой клиент. А автору вопроса требуется разрешить это делать только с определённого домена И на стороне клиента.

Как ограничить доступ к api сайта?

Проблема: что jwt можно сделать не в браузере, а в своём приложении-микросервисе и спокойно юзать API у себя на бэкенде. Т.к. там только обмен данными, а проверки, что это используется внутри браузера или нет - никакой нет.

Как ограничить доступ к api сайта?

Кирилл Горелов, тогда это не решение вопроса топикстартера, т.к. он указал, что

а сам фронт отдаётся в браузере,

и сразу смутило...

В: А зачем вообще передавать эти данные через форму тогда, если пользователь не может их изменить?

О: Мы говорим о наборе полей, а не самих данных. В форме есть набор полей — зачем пользователю менять сам набор, если он должен заполнить только значения?

Т.е., задача - ограничить доступ к API с фронта, а не с бэка. (я так понял...)

Как ограничить доступ к api сайта?

Кирилл Горелов, на мой простой вопрос можете дать конкретный ответ?

т.е. сайты обмениваются друг с другом по бэку и без фронта (браузера).
Верно я понял?

Как ограничить доступ к api сайта?

Кирилл Горелов, это мне для чего? (что такое "подпись запроса" - я уже как xнадцать лет в курсе)

Как ограничить доступ к api сайта?

Кирилл Горелов, т.е. сайты обмениваются друг с другом по бэку и без фронта (браузера).
Верно я понял?

Управление Rotation с помощью джойстика, как?

Герман Коффман, gameObject.transform.Rotate( ставьте в конец fixedUpdate и правильно передайте угол поворота согласно направлению джойстика. Для этого почитайте документацию по .transform.Rotate().
PS: мне не на чем сейчас попробовать...

Как реализовать гравитацию в unity так чтобы планеты тд. притягивались и летали по орбитам и при этом код был максимально простым и эффективным?

Lamer_iz_prohlogO, Это класс, который нужно вешать на объект c rigidbody в Unity.
(если и это непонятно - Вы не знаете Unity и лучше Вам начать изучение с оф. уроков)

Как ограничить доступ к api сайта?

Кирилл Горелов, открытый ключ - передаётся через клиента (через браузер)?

Как догружать изображения после потери связи?

alexjet73, обработчик onerror на все изображения можно свой сделать (со шрифтами - надо смотреть...) и в нём - уже заполнять массив загруженных/не загруженных изображений.

Как вертикально выровнять строку по буквам в нижнем регистре?

Александр, делайте на JS однозначно: offsetHeight и offsetWidth - в помощь.

Как вертикально выровнять строку по буквам в нижнем регистре?

Александр, при том, что пока Вы не сделаете ритм, вы не получите возможность смены шрифта с сохранением нужного вам позиционирования. (ну или обрабатывайте через JS)

Как ограничить доступ к api сайта?

freeExec, И так уже считает при подписи запроса токеном (первый запрос когда делает).
Поясню: (кроме referer'a!) всё дело в зазоре тайминга между двумя запросами И динамической JS-задачей: они вместе контролируют валидность исполнения запроса к API со стороны клиента.

Как часто нужно перепроверять винчестер, чтобы файлы НЕ размагнитились?

Ezhyg,

да сколько вам можно вдалбливать?! Рейд не для сохранности, а для доступности, же.

Боюсь, что Вы сильно перебрали.... :))