React 問い合わせフォームをスパムと悪用から守る

問い合わせページは単純に見えますが、攻撃者が書き込める最初の公開 endpoint になることがよくあります。spam、phishing payload、過大な送信、自動 probe が同じ workflow を標的にできます。

Frontend は品質を上げノイズを減らせますが、実際にメールを送る endpoint には server-side validation と rate limiting が必要です。

• 送信前に必須項目と想定される長さを検証します。
• provider secret や private API key を client-side code に露出しません。
• ユーザーが繰り返し送信しないよう、明確な成功・失敗状態を表示します。
• ページ重量を抑えるため、bot protection は必要な場所だけで読み込みます。

• プラットフォームが許す範囲で IP、fingerprint、session による rate limit を設定します。
• メールを組み立てる前に payload を normalize し、検証します。
• 個人アドレスではなく role-based mailbox にメッセージを route します。
• 不要な個人データを集めずに、悪用調査に必要な文脈だけを log します。

会社 alias は workflow を運用しやすくします。support 質問は support、脆弱性報告は security、privacy 要求は privacy、legal 要求は legal、sales lead は sales に送れます。この分離は公開サイト上でも信頼性を高めます。