要绕过都可以的,http是透明的协议,验证码最简单的,,你拿百度翻译识图,结果也瞬间出来了。
包括各种手势 滑动,就算走php输出做二次验证也没用,都是js算法,机器都能解开过,具体你也可以百度了解下如何过极验验证码
针对性的攻击,好比你说的解析js url跳转,基本上只有经常替换js混淆代码来实现防御,或者直接引入外部的jq等组件,实现查看html源代码和访问的url跳转地址不一样,需要载入jq后进行url解密在进行跳转,防御方案有很多种,可以灵活的实现。当然防御永远是被动方,玩不过攻击方的
所以最好的方案还是IP黑名单,云端大数据库,识别攻击代理等IP地址,直接在机房防火墙拉黑,攻击机器都进不来就不担心个攻击流量了