Du setzt bei der Anforderung des Formulars ein Cookie mit dem timestamp.
Wenn das Formular dann verarbeitet wird, kannst du die Cookies auslesen, und  prüfst, das seither mindestens 10 Sekunden vergangen sind.

Wenn kein Cookie gesendet wird, kannst du das eh als Spam ablehnen.

Das ist ja wohl grober Unfug. Ich habe Cookies grundsätzlich gesperrt. Denn Seiten mit Werbeeinblendungen setzen fünf und mehr Cookies, das nervt einfach. Es ist mein Rechner und ich bestimme, wer Daten ablegt.

Ganz anders, wenn eine Seite erklärt, warum sie Cookies benötigt. Dann gebe ich Cookies für diese Seite frei.

Ich selbst arbeite auch mit Cookies, damit die Einstellungen von der letzten Sitzung wieder verfügbar sind. Wer das nicht will, muss sich halt neu durchklicken, ist auch in Ordnung.

Kalle