故意拒绝密码API
各维度得分依据公开资料与字段推算,加权后即综合评分,仅供参考。
Password Purgatory 是一个刻意“折磨”用户的密码提示 API。它并不判断密码是否安全,而是无论用户输入什么密码都会拒绝,并返回类似“密码必须包含至少 1 个数字”的 JSON 消息。其目标场景更接近反垃圾、诱饵表单或趣味演示,让自动化提交者或恶意用户在无意义的密码规则中停留。
产品提供一个非常简单的 GET 端点:/make-hell?password={password},响应为 JSON message。CORS 已对所有来源开放,因此前端页面可以直接调用。官方还提供 make-hell.js,外部网站只需准备指定名称的表单、密码字段和响应元素即可嵌入展示。若需要日志,需要先将 logger 部署到 Cloudflare Worker,再引入 log-hell.js 并配置自己的 Worker 域名。
文本明确说明网站、API、Logger 全部开源,并分别提供 GitHub 仓库。这对审计和二次开发是加分项。自托管方面,Logger 的 Cloudflare Worker 部署路径较清晰,但完整 API 的自托管步骤在正文中没有展开。文档覆盖了请求、响应、CORS、嵌入和日志启用,足以快速试用;不足是缺少错误码、限流、版本策略、SLA、鉴权和生产环境安全建议,并且嵌入脚本的 SRI 完整性校验仍处于待办状态。
正文没有披露任何定价、付费计划或支付方式。优点是接口极简、跨域友好、开源透明,适合很快集成到网页中。缺点也很明显:功能极窄,不能用于真实密码校验;服务支持和稳定性承诺未知;将密码放入 GET query string 在严肃业务中也不应照搬。
它适合做安全培训反例、趣味项目、垃圾提交干扰页或蜜罐式交互,不适合登录、注册等真实身份系统。中国大陆访问情况正文未提供,GitHub 与 Cloudflare Worker 相关组件在实际网络环境中可能受网络波动影响,但此处只能标记为未知。
本测评基于公开资料整理,不构成购买建议,请以 passwordpurgatory.com 官网实际信息为准。
适合恶搞、反机器人或产品彩蛋演示。
评分明细(分布与用户短评)接入中。当前展示 TG4G 综合评分,数据源自公开测评与用户反馈。