Серверный rate limiting по IP и по fingerprint снижает burst-атаки; для публичных API комбинируйте с API-ключами и квотами per tenant.
Honeypot-поле скрытое от пользователя ловит простых ботов, но не заменяет серверную валидацию и логирование аномалий.
- [OWASP API Security — Unrestricted Resource Consumption](https://owasp.org/API-Security/editions/2023/en/0xa4-unrestricted-resource-consumption/) — Риск исчерпания ресурсов через API.
---
## Капча
Используйте невидимые или отложенные механизмы только после детекции подозрительного паттерна — каждая лишняя головоломка бьёт по конверсии и доступности.
Логируйте отказы и ложные срабатывания, чтобы откатывать агрессивные правила.