Smolnet的验证码页面简单得像个玩笑:一个按钮,一段说明,完事。但最骚的操作藏在开发者提示里——它直接告诉你怎么绕过。

只要改个User-Agent请求头,把邮箱塞进去,爬虫就能畅通无阻。没有复杂的图像识别,没有行为检测,没有"请点击所有包含红绿灯的图片"这种折磨。

打开网易新闻 查看精彩图片

这套机制的逻辑很朴素:真人用浏览器,会乖乖点按钮;正经开发者改请求头留联系方式,出了问题能找到人;只有批量滥用、不留痕迹的爬虫会被拦住。

打开网易新闻 查看精彩图片

cookie里不放追踪信息,这点也值得注意。很多网站借验证码之名行数据收集之实,Smolnet反着来——它只关心你是不是真人或负责任的开发者,不关心你是谁、从哪来。

打开网易新闻 查看精彩图片

这种"软床岩"式的设计,用最低摩擦实现了核心目标。对普通用户几乎无感,对合规开发者敞开大门,只对恶意流量设卡。当大多数验证码越来越复杂、用户体验越来越差时,这种坦诚反而成了稀缺品。