SeriaCAPTCHA

覆盖主流桌面与移动端浏览器的受支持版本，并依赖现代 Web 能力。

引入前端脚本后，在需要的页面初始化SeriaCAPTCHA，在验证完成回调中获取一次性 token，并与业务表单一并提交给后端进行二次校验。了解更多

服务端使用密钥调用校验接口，提交 token、来源网域、时间戳等参数；校验通过后再继续业务流程。请务必校验服务端响应并处理失败与超时重试。了解更多

将实际访问网域加入白名单；前端仅使用 AppKey，密钥仅保存在服务端；如有多环境（开发/测试/生产），建议分别创建与区分 AppKey。

逐项核对：1）白名单包含当前网域；2）AppKey 已启用且未过期；3）AppKey 填写无误且存在；如仍异常，请查看浏览器控制台与网络请求日志。

token 为一次性短有效期。请在服务端校验后将其标记为已使用，并结合 IP/UA/时间戳/Nonce 做幂等校验，防止重放与并发提交。

放行 SeriaCAPTCHA 静态与接口域名（HTTPS 443），允许必要的跨域与缓存头；确保安全网关未对相关请求误拦截或篡改。

启用风险自适应触发，仅在高风险时弹出挑战；结合业务白名单和频控策略；对可信设备与会话减少触发频率。

在组件卸载或路由切换时清理实例与事件，再在目标视图重新初始化；避免在同一 DOM 上多次初始化导致状态错乱。

频繁：优化交互与退避重试；签名：校对密钥、时间戳、算法与时区；超时：增加服务端超时阈值并加入重试与熔断策略。

遵循最小化与必要性原则；在隐私政策中披露使用验证码及目的；如需 DPA/合同条款或跨境合规材料，请联系商务与支持。

在控制台添加对应网域（含本地域名与内网域名）至允许列表；必要时使用通配符，但请遵循最小授权；确认网络能访问外部资源。

由风险评估、站点难度设定与用户交互表现共同决定。若用户失败或环境风险偏高，系统可能呈现新的挑战或提高难度，以确保安全性。

一般在 1–5 秒内完成，具体取决于挑战类型与难度设置。建议在 UI 上为等待状态提供清晰反馈以降低感知时延。

为满足隐私与合规要求，建议在页面或页脚提示“本站受验证码保护，并适用隐私政策与服务条款”，并在站点隐私政策中说明处理目的与数据范围。

了解更多

提供音频或文本类替代挑战，并保证键盘可达、ARIA 语义与焦点管理；如在企业场景，可配置被动模式并消费风险分值以满足合规要求。

建议在隐私政策内披露验证码作为数据处理者（如适用）的作用、处理目的与法律基础，并提供隐私政策与服务条款链接以满足告知义务。

支持哪些浏览器与最低版本要求？