步骤:
1. 用户向服务器请求页面。
2. 服务器产生4位随机数字NumRandom, 并传给Page2
3. Page2上有一张背景图片,将NumRandom写在页面上。
4. Page1将Page2作为一张图片来引用。例如<img url=”Page2.aspx”
5. 调用函数FunctionEncrypt将NumRandom加密。
6. 将加密后的字符串放在Session中。
7. 将生成完全的Page1返回给用户。
8. 用户看到验证码图片以后就可以输入在TextBox中。
9. 点击确认以后用户输入的四位数字被使用FunctionEncrypt加密。
7. 加密以后同Session中字符串相比较,如果相同才允许用户通过验证。
这种做法的好处主要是防止用户通过程序来反复登陆服务器,对服务器造成攻击。主要考虑了以下几点:
因为一般来说(并不是绝对,因为已经有技术可以通过程序来识别验证码字符了),用户必须看到验证码才能输入增加了程序攻击的难度;用户即使截获了Session,由于字符串已经经过加密,所以很难被解密,也就是说用户很难获取到NumRandom的未加密信息。