Cap

Cap 是一款开源的 CAPTCHA 替代方案，它使用工作量证明计算而非视觉谜题来保护网络表单和 API 免受自动化机器人的攻击。作为 Google reCAPTCHA、hCaptcha 和 Cloudflare Turnstile 等服务的隐私优先替代品，Cap 在用户的浏览器中直接通过 WebAssembly 运行无感知的 SHA-256 挑战。真实用户在毫秒内解决挑战而毫无察觉；机器人则面临巨大的计算成本，使得大规模提交在经济上不可行。不设置 Cookie，不跟踪行为数据，所有验证都在您自己的基础设施上进行。

常见用例

保护用户注册和登录表单的开发人员用 Cap 替代 reCAPTCHA，以消除 Google 服务带来的隐私问题和第三方依赖。自托管网站上的联系表单和评论区使用 Cap 阻止垃圾邮件提交，同时不会因图像谜题或可访问性障碍而降低用户体验。接受公共输入的 API 端点——例如反馈表单、投票端点、公共数据提交——添加 Cap 令牌验证，以防止脚本滥用，且每次请求无需额外成本。受 GDPR 或其他隐私法规约束的组织使用 Cap，因为它不需要用户同意横幅：无需收集行为数据或征得同意。构建多租户产品的 SaaS 开发人员使用独立的站点密钥将 Cap 嵌入到多个客户端站点中，每个站点都有独立的分析数据。构建内部工具的团队在 VPS 上与他们的应用程序一起自托管 Cap，将所有机器人防护基础设施保留在自己的网络边界内，并远离外部审计。

主要功能

• 工作量证明挑战： SHA-256 计算在浏览器内部的 WebAssembly 中运行，对真实用户不可见，且成本足以阻止机器人，而不会完全阻断它们。
• 零 Cookie 和零跟踪： 不设置 Cookie，不进行指纹识别，不向任何外部服务器发送数据——符合 GDPR 规定，无需同意提示。
• 20KB 客户端小部件： 可嵌入的 JavaScript 小部件轻量且无外部依赖，对任何页面增加的开销极小。
• REST 验证 API： 向您的 Cap 实例发送单个 HTTP POST 请求即可验证来自任何后端语言或框架的挑战令牌。
• 管理控制面板： 查看每个站点的挑战通过率、失败指标和使用分析；管理站点密钥并轮换密钥，无需重启服务。
• Valkey 持久化： 挑战状态存储在具有磁盘持久化的 Valkey 实例中，因此已发行的令牌在容器重启后仍然有效。
• 多站点支持： 为多个域或项目创建独立的站点密钥，每个密钥在管理面板中跟踪独立的挑战分析和使用统计数据。

为何在 Hostinger VPS 上部署 Cap

在 Hostinger VPS 上运行 Cap 意味着您的机器人防护永远不会依赖于 Google、Cloudflare 或任何其他可能更改其定价或条款的第三方服务。验证延迟由您的 VPS 位置决定，而非外部 API，从而确保用户和您的后端都能获得可预测的响应时间。没有按次验证收费——单一固定的 VPS 成本即可涵盖您的所有网站和应用程序的无限次挑战。由于 Cap 除了其 Valkey 存储外是无状态的，它可以在最小的 VPS 方案上高效运行，并且可以同时保护数十个网站而不会产生明显的资源占用。