17370845950

图形验证码应由后端生成并校验，前端仅负责请求、展示和提交；纯前端Canvas实现安全性极低，仅适用于学习或非敏感场景。

图形验证码在 JavaScript 中通常不直接“生成”，而是由后端生成并返回图片地址或 Base64 数据，前端负责请求、展示和提交用户输入。纯前端用 Canvas 生成简单验证码虽可行，但安全性极低，仅适用于学习或无敏感操作的场景。

后端生成 + 前端展示（推荐方式）

这是实际项目中的标准做法：验证码图片和对应文本由服务端生成并存储（如 Redis），同时返回一个唯一标识（如 captchaId）和图片地址。

• 前端发起请求获取验证码，例如：GET /api/captcha?timestamp=123456
• 后端返回 JSON：{"captchaId": "abc123", "imgUrl": "/captcha/abc123.png"}
• 前端用 标签加载图片，并把 captchaId 存入表单隐藏域
• 用户输入后，连同 captchaId 和输入值一起提交校验

前端 Canvas 简易实现（仅用于演示）

适合本地练习或内部工具，不建议用于登录、注册等关键流程。

• 创建 元素，设置宽高（如 120×40）
• 用 getContext('2d') 绘制背景、干扰线、随机字符（4–6位）
• 字符可从 "ABCDEFGHJKLMNPQRSTUVWXYZ23456789" 中随机选取
• 将生成的字符串存入 JS 变量（或 data 属性），同时绘制到画布上
• 绑定点击事件实现“换一张”，重新绘制即可

增强可用性的小技巧

提升用户体验的同时兼顾基础防护：

• 图片加轻微扭曲或噪点（Canvas 可做，但别过度影响识别）
• 支持点击刷新，同时更新 captchaId（如果是前后端协作模式）
• 输入框添加 placeholder 提示，如“请输入图中字符”
• 错误时不清空输入框，方便用户修改
• 限制验证码有效期（如 5 分钟），后端校验时检查时间戳

基本上就这些。真正安全的图形验证码必须依赖服务端生成与校验，前端只管展示和交互。Canvas 方案看看原理可以，上线请务必交给后端。