我参与为非营利组织建立捐赠表格。我们最近受到一轮低美元提交的快速打击。许多卡是无效的，但有一些通过了。显然，有人编写了一个脚本来检查一堆卡号的有效性，以便以后可以出售。

关于将来如何预防或者限制这种影响的任何想法？

我们可以控制系统的各个方面(代码，Web服务器等)。是的，表格通过https运行。

解决方案

将来自同一IP地址的提交限制为每分钟一分钟，或者将真实人填写表格所需的合理时间限制为每分钟

如果检测到大量来自单个IP地址或者较小地址范围的无效交易，请阻止该地址/网络。

如果正在使用僵尸网络，这将无济于事。我们仍然可以检测到提​​交的美元数量很少的洪水，从而在受到攻击时进行推断；在这段时间里，停滞低价的提交，以使它们花费更长的时间；为低额捐款引入验证码；请咨询我们银行的防欺诈部门，以防他们可以利用服务器日志来捕获肇事者。

强迫捐赠者创建账户以进行捐赠；使用验证码保护帐户创建，并保护任何一个帐户的速率限制捐赠。

将最低允许捐款提高到使骗子以这种方式使用我们不再具有经济意义的地步。

Raising the minimum donation to a point where it no longer makes financial sense for the scammers to use you in this way will help in general.

这。无论如何，我们以低于5美元的价格获得了多少合法捐款？

我们可能想利用大多数人都启用了JavaScript而机器人却没有启用javascript的事实，而不是会惹恼用户的CAPTCHA。只需创建一小段javascript，即可在运行时在隐藏字段中插入特定值。

对于禁用了Javascript的用户，我们可以显示CAPTCHA(使用<noscript>标签)，然后仅在以下两种方法中的任何一种退出时，我们才能接受提交。

为了最大程度地防止犯罪，我们可以通过计算使区分成功消息和失败消息之间的区别变得难以区分(例如，除了显示该消息的一张图片以外，其他一切都是相同的)，但对于人类来说却很容易理解。