网页上一个按钮的点击，如何用 js 判断为真人点击？

能判断就不需要 recaptcha 了

验证码

上验证码

用 Event.isTrusted
https://developer.mozilla.org/zh-CN/docs/Web/API/Event/isTrusted

@pathletboy invisible recaptcha 有使用次数限制
@InDom
@ramcasky 验证码太繁琐，就想悄悄验证不影响用户体验

如果楼主说的真的成立，那么 reCAPTCHA 是在做什么？
受限于浏览器的权限限制，反机器人几乎不可能在客户端准确的侦测。
所以包括 reCAPTCHA 都是通过特征识别+验证码拷问来验证的。

js 打开电脑摄像头

@musi 谢谢，这个无头浏览器能模拟出来吗？

点击事件中 有一个 event.isTrusted

不用 recaptcha 判断真人，如果真的能实现的话，那为什么那么多要用 recaptcha 呢
你这个需求是个伪命题

首先，先实现能判断是否是真人点击的浏览器；然后，弄个 jsbridge ；最后，用 js 调用 api 。

你是不是对 js 有什么误解

印象中支付宝有很多 h5 页面，有类似风控，不加验证码，但是会在 post 信息中包含“加密后的环境、操作信息”

现在有第三代 recaptcha 不需要用户点击按钮，或者验证码 直接可以给出一个评分。

https://developers.google.com/recaptcha/docs/v3

别争了，#4 楼已经给了正确答案了，大家退了吧。

伪命题 防不住的
python Pyauogui+图像识别
总有办法能绕过你的限制

单个点击判断不了，puppeteer 可以模拟正常人鼠标点击，不过可以行为分析多个点击判断是否机器，效果嘛取决于算法，会错判。

最简单还是用图灵测试，比如楼上举例 recaptcha 。

开个玩笑: 什么是真人?

@kisshere #8 是可以的，毕竟 js 是运行在客户端的。真要说的话 js 的执行环境就是不可信的，你怎么能保证在不可信的执行环境里面得到的执行结果是正确的呢？

不能。JS 向 HTTP 后端提交的任何内容都是可以篡改的。设备环境风控靠黑名单（ IP 和设备特征），人机风控靠验证码（机器识别不了的），目前别无他法

#4 说的 Event.isTrusted 的根据是判断操作是否由 JS 代码触发，不管用的，无头浏览器的操作不依赖网页 JS ，isTrusted 会是 true