c137rick

@discrete #30 鬼才

@Stain5 #31 提高一下攻击成本而已，主要用来对付脚本小子。
@no1xsyzy #32 并不会为了对付爬虫，主要是为了对付一些消耗服务器性能的攻击，后面还有限制单个 IP 的访问频率的机制，也只是能提高一点攻击成本而已，并不那么有用。

@yujiang #28
@ysc3839 #27

只是学个样子而已，没有打算做 JS Challenge 。我只是想用这个五秒盾搭配 IP 访问频率限制来抵抗一下使用代理池的脚本而已。

@woodensail #18 好像有一个问题，首次访问时只需要修改一下 time 就能绕过了，这应该是一个漏洞。我打算用让 time 参加到 code 的生成过程中，这样应该就没问题了。

@suomy #15 确实，time 可能被伪造，我生成 code 时算上 time 吧。谢了！

@woodensail #18 重放确实不防，不过五秒盾的后面还有一个限制 IP 访问频率的机制，应该可以缓解一下。我是希望使用这两种机制来缓解一下来自代理池的攻击。

@woodensail #17 Cookie 生成算法是可以公开的，因为生成 code 时用到了服务端的一个长度为 128 的随机字符串。对方知道算法也没办法伪造吧？攻击者可以伪造 uid 和 time，但是 code 生成时不仅使用了客户端 IP 和 uid，还使用了一个仅存储在服务端的随机字符串，所以 code 应该时不能伪造的。大概没问题吧？

@suomy #15 只有在客户端提供的 code 和服务器计算的 code 相同时才会判断时间，如果 code 对不上是不会走到判断时间这一步的。

@chairuosen #14 延迟五秒后五秒盾就不会再起作用了，后续会有专门的机制限制 IP 的访问频率。想使用这两个机制稍微抵抗一下代理池。