Serversideverificering

Verificer altid SilentShield-nonce på din server. Kontroller alene på klientsiden kan omgås af bots.

Hvorfor serverside?

Widgetten kører i browseren og injicerer en nonce i formularer. En bot kunne springe widgetten over og indsende formularen direkte. Serversideverificering sikrer, at nonce er legitimt udstedt og verificeret af SilentShield.

API-endepunkt

Method: POST
URL: https://api.silentshield.io/api/v1/captcha/verify-nonce
Headers: X-Api-Key: YOUR_API_KEY Content-Type: application/json
Body: { "nonce": "the-nonce-from-the-form" }

Svarformat

Responsejson

{
  "verdict": "human",
  "score": 0.92,
  "difficulty": "pass",
  "challenge_required": false
}

human: human — Brugeren er med stor sandsynlighed et menneske. Behandl formularen.
suspicious: suspicious — Brugeren kan være en bot. Overvej yderligere kontroller.
bot: bot — Høj sikkerhed for, at dette er en bot. Afvis formularen.

Anbefalet logik

I de fleste tilfælde skal du kontrollere verdict-feltet:

Server-Side Logicjavascript

if verdict == "bot":
    reject the submission (403)
elif verdict == "suspicious":
    optionally require additional verification
else:
    process the form normally

Fejlhåndtering

Hvis SilentShield API er utilgængelig (timeout, 5xx-fejl), beslut dig for din strategi:

Fail Open: Slip igennem — Accepter formularen (bedre UX, mindre sikkert)
Fail Closed: Blokér — Afvis formularen (mere sikkert, dårligere UX)

For de fleste applikationer anbefaler vi at slippe igennem med logning. Kritiske formularer (login, betaling) bør blokere.