目錄
- Honeypot的工作原理
- Django中如何實現(xiàn)表單honeypot驗證?
- 編寫模板標(biāo)簽
- 編寫裝飾器
- 參考
如果你的網(wǎng)站中允許匿名用戶通過POST方式提交表單, 比如用戶注冊表, 評論表或者留下用戶聯(lián)系方式的表單,你一定要防止機器人或爬蟲程序惡意提交大量的垃圾數(shù)據(jù)到你的數(shù)據(jù)庫中。這種情況不是可能會發(fā)生,而是一定會發(fā)生。一種解決這種問題的方式就是在表單中加入人機交互驗證碼(CAPTCHA), 另一種方式就是在表單中加入honeypot隱藏字段,然后在視圖中對隱藏字段的值進行驗證。兩種驗證方式的目的都是一樣,防止機器人或程序通過偽裝成人來提交數(shù)據(jù)。今天我們就來詳細介紹下如何在表單中添加honeypot增加安全性。
Honeypot的工作原理
Honeypot又名蜜罐,其實本質(zhì)上是種陷阱。我們在表單中故意通過CSS隱藏一些字段, 這些字段一般人是不可見的。然而機器人或程序會以為這些字段也是必需的字段(required), 所以會補全后提交表單,這就中了我們的陷阱。在視圖中我們可以通過裝飾器對用戶提交的表單數(shù)據(jù)進行判斷,來驗證表單的合法性。比如honeypot字段本來應(yīng)該為空的,現(xiàn)在居然有內(nèi)容了,顯然這是機器人或程序提交的數(shù)據(jù),我們可以拒絕其請求。
Django中如何實現(xiàn)表單honeypot驗證?
Django表單中添加honeypot,一共分兩步:
1. 編寫模板標(biāo)簽(templatetags),在包含模板的表單中生成honeypot字段。
2. 編寫裝飾器(decorators.py), 對POST請求發(fā)送來的表單數(shù)據(jù)進行驗證。
由于honeypot的功能所有app都可以用到,我們創(chuàng)建了一個叫common的app。整個項目的目錄結(jié)構(gòu)如下所示。只有標(biāo)藍色的4個文件,是與honeypot相關(guān)的。
編寫模板標(biāo)簽
我們在common目錄下新建templatetags目錄(包含一個空的__init__.py),然后在新建common_tags_filters.py, 添加如下代碼。
from django import template
from django.conf import settings
from django.template.defaultfilters import stringfilter
register = template.Library()
# used to render honeypot field
@register.inclusion_tag('common/snippets/honeypot_field.html')
def render_honeypot_field(field_name=None):
"""
Renders honeypot field named field_name (defaults to HONEYPOT_FIELD_NAME).
"""
if not field_name:
field_name = getattr(settings, 'HONEYPOT_FIELD_NAME', 'name1')
value = getattr(settings, 'HONEYPOT_VALUE', '')
if callable(value):
value = value()
return {'fieldname': field_name, 'value': value}
我們現(xiàn)在來看下上面這段代碼如何工作的。我們創(chuàng)建了一個名為render_honeypot_field的模板標(biāo)簽,用于在模板中生成honeypot字段。honeypot字段名是settings.py里HONEYPOT_FIELD_NAME,如果沒有此項設(shè)置,默認值為name1。honeypot字段的默認值是HONEYPOT_VALUE, 如果沒有此項設(shè)置,默認值為空字符串''。然后這個函數(shù)將fieldname和value傳遞給如下模板片段。
# common/snippets/honeypot_field.html
div class="form-control" style="display: none;">
label>input type="text" name="{{ fieldname }}" value="{{ value }}" />
/label>
/div>
在Django模板的表單中生成honeypot字段只需按如下操作:
{% load common_tags_filters %}
{% load static %}
form method="post" action="">
{% csrf_token %}
{% render_honeypot_field %}
{% form.as_p %}
/form>
編寫裝飾器
在common文件下新建decorators.py, 添加如下代碼。我們編寫了check_honeypot和honeypot_exempt兩個裝飾器,前者給需要對honeypot字段進行驗證的視圖函數(shù)使用,后者給不需要對honeypot字段進行驗證的視圖函數(shù)使用。
#common/decorators.py
from functools import wraps
from django.conf import settings
from django.http import HttpResponseBadRequest, HttpResponseForbidden, HttpResponseRedirect
from django.template.loader import render_to_string
from django.contrib.auth.decorators import user_passes_test
def honeypot_equals(val):
"""
Default verifier used if HONEYPOT_VERIFIER is not specified.
Ensures val == HONEYPOT_VALUE or HONEYPOT_VALUE() if it's a callable.
"""
expected = getattr(settings, 'HONEYPOT_VALUE', '')
if callable(expected):
expected = expected()
return val == expected
def verify_honeypot_value(request, field_name):
"""
Verify that request.POST[field_name] is a valid honeypot.
Ensures that the field exists and passes verification according to
HONEYPOT_VERIFIER.
"""
verifier = getattr(settings, 'HONEYPOT_VERIFIER', honeypot_equals)
if request.method == 'POST':
field = field_name or settings.HONEYPOT_FIELD_NAME
if field not in request.POST or not verifier(request.POST[field]):
response = render_to_string('common/snippets/honeypot_error.html',
{'fieldname': field})
return HttpResponseBadRequest(response)
def check_honeypot(func=None, field_name=None):
"""
Check request.POST for valid honeypot field.
Takes an optional field_name that defaults to HONEYPOT_FIELD_NAME if
not specified.
"""
# hack to reverse arguments if called with str param
if isinstance(func, str):
func, field_name = field_name, func
def wrapper(func):
@wraps(func)
def inner(request, *args, **kwargs):
response = verify_honeypot_value(request, field_name)
if response:
return response
else:
return func(request, *args, **kwargs)
return inner
if func is None:
def decorator(func):
return wrapper(func)
return decorator
return wrapper(func)
def honeypot_exempt(func):
"""
Mark view as exempt from honeypot validation
"""
# borrowing liberally from django's csrf_exempt
@wraps(func)
def wrapper(*args, **kwargs):
return func(*args, **kwargs)
wrapper.honeypot_exempt = True
return wrapper
上面代碼最重要的就是verify_honeypot_value函數(shù)了。如果用戶通過POST方式提交的表單里沒有honeypot字段或該字段的值不等于settings.py中的默認值,則驗證失敗并返回如下錯誤:
# common/snippets/honeypot_error.html
!DOCTYPE html>
html lang="en">
body>
h1>400 Bad POST Request/h1>
p>We have detected a suspicious request. Your request is aborted./p>
/body>
/html>
定義好裝飾器后,我們對需要處理POST表單的視圖函數(shù)加上@check_honeypot就行了,是不是很簡單?
from common.decorators import check_honeypot
@check_honeypot
def signup(request):
if request.method == "POST":
form = SignUpForm(request.POST)
if form.is_valid():
user = form.save()
login(request, user)
return HttpResponseRedirect(reverse('users:profile'))
else:
form = SignUpForm()
return render(request, "users/signup.html", {"form": form, })
參考
本文核心代碼參考了James Sturk的Django-honeypot項目。原項目地址如下所示:
https://github.com/jamesturk/django-honeypot/
以上就是Django給表單添加honeypot驗證增加安全性的詳細內(nèi)容,更多關(guān)于Django 添加honeypot驗證的資料請關(guān)注腳本之家其它相關(guān)文章!
您可能感興趣的文章:- Django表單外鍵選項初始化的問題及解決方法
- django表單中的按鈕獲取數(shù)據(jù)的實例分析
- Django def clean()函數(shù)對表單中的數(shù)據(jù)進行驗證操作
- Django 構(gòu)建模板form表單的兩種方法
- Django form表單與請求的生命周期步驟詳解
- Django model.py表單設(shè)置默認值允許為空的操作
- Django表單提交后實現(xiàn)獲取相同name的不同value值
- Django框架獲取form表單數(shù)據(jù)方式總結(jié)
- django之從html頁面表單獲取輸入的數(shù)據(jù)實例
- 解決django中form表單設(shè)置action后無法回到原頁面的問題
- django-xadmin根據(jù)當(dāng)前登錄用戶動態(tài)設(shè)置表單字段默認值方式
