傳輸僅供瀏覽器環境接收的信息？

Question

作爲思想實驗的一部分，我試圖確定服務器是否有希望提供一段僅用於瀏覽器環境的接收和使用的數據，即無法通過爬行我的站點的bot讀取。顯然，如果這些信息是在源代碼中發送的，或者通過任何常用的HTTP方式發送的，那麼這可以通過一個bot來獲取 - 迄今爲止，這麼簡單。

但是，如果信息是由服務器發送的，而不是作爲websocket消息傳遞的：那麼這隻能由瀏覽器環境中的一些相應的（可能是經過身份驗證的）JavaScript接收，從而阻止了它被bot攔截？ （這是基於我的假設，一個殭屍程序沒有客戶端環境，本質上是一個惡意的服務器端腳本，通過類似cURL的東西來調用網站，假裝成一個用戶）。

另一種表述這個問題的方式可能是：在websockets的web實現中，是否收到始終由客戶端環境（即JS）完成的消息？

Answer 1

我無法回答關於websockets的問題，但充分動機的攻擊者會找到一種方法來模擬您所需的任何環境。通過ajax加載這些內容，你可以消除偶然的機器人。您可以使用robots.txt消除行爲良好的機器人。

Answer 2

使用WebSocket沒有區別。您無法逃避以下事實：您可以始終編寫一個非瀏覽器客戶端，該瀏覽器客戶端的外觀和行爲與任何標準瀏覽器完全相同。

我可以假裝：你可能會讀取任何HTTP頭（如瀏覽器供應商等）。 origin標題也沒有幫助（我可以僞造它）。餅乾也沒有。我會讀它們並將其還給你。

您可能會通過強大的驗證碼保護您的網站，並在captcha解決後才設置cookie。這取決於驗證碼是無法通過機器人解決..