如果你的網站中允許匿名用戶通過POST方式提交表單, 比如用戶注冊表, 評論表或者留下用戶聯系方式的表單，你一定要防止機器人或爬蟲程序惡意提交大量的垃圾數據到你的數據庫中。這種情況不是可能會發生，而是一定會發生。一種解決這種問題的方式就是在表單中加入人機交互驗證碼(CAPTCHA), 另一種方式就是在表單中加入honeypot隱藏字段，然后在視圖中對隱藏字段的值進行驗證。兩種驗證方式的目的都是一樣，防止機器人或程序通過偽裝成人來提交數據。今天我們就來詳細介紹下如何在表單中添加honeypot增加安全性。

Honeypot又名蜜罐，其實本質上是種陷阱。我們在表單中故意通過CSS隱藏一些字段, 這些字段一般人是不可見的。然而機器人或程序會以為這些字段也是必需的字段(required), 所以會補全后提交表單，這就中了我們的陷阱。在視圖中我們可以通過裝飾器對用戶提交的表單數據進行判斷，來驗證表單的合法性。比如honeypot字段本來應該為空的，現在居然有內容了，顯然這是機器人或程序提交的數據，我們可以拒絕其請求。

Django表單中添加honeypot，一共分兩步：

1. 編寫模板標簽(templatetags)，在包含模板的表單中生成honeypot字段。

2. 編寫裝飾器(decorators.py), 對POST請求發送來的表單數據進行驗證。

由于honeypot的功能所有app都可以用到，我們創建了一個叫common的app。整個項目的目錄結構如下所示。只有標藍色的4個文件，是與honeypot相關的。

我們在common目錄下新建templatetags目錄(包含一個空的__init__.py)，然后在新建common_tags_filters.py, 添加如下代碼。

from django import templatefrom django.conf import settingsfrom django.template.defaultfilters import stringfilterregister = template.Library()# used to render honeypot field@register.inclusion_tag(’common/snippets/honeypot_field.html’)def render_honeypot_field(field_name=None): '''Renders honeypot field named field_name (defaults to HONEYPOT_FIELD_NAME). ''' if not field_name:field_name = getattr(settings, ’HONEYPOT_FIELD_NAME’, ’name1’) value = getattr(settings, ’HONEYPOT_VALUE’, ’’) if callable(value):value = value() return {’fieldname’: field_name, ’value’: value}

我們現在來看下上面這段代碼如何工作的。我們創建了一個名為render_honeypot_field的模板標簽，用于在模板中生成honeypot字段。honeypot字段名是settings.py里HONEYPOT_FIELD_NAME，如果沒有此項設置，默認值為name1。honeypot字段的默認值是HONEYPOT_VALUE, 如果沒有此項設置，默認值為空字符串’’。然后這個函數將fieldname和value傳遞給如下模板片段。

# common/snippets/honeypot_field.html

<div style='display: none;'><label><input type='text' name='{{ fieldname }}' value='{{ value }}' /> </label></div>

在Django模板的表單中生成honeypot字段只需按如下操作：

{% load common_tags_filters %}{% load static %}<form method='post' action=''> {% csrf_token %} {% render_honeypot_field %} {% form.as_p %}</form>編寫裝飾器

在common文件下新建decorators.py, 添加如下代碼。我們編寫了check_honeypot和honeypot_exempt兩個裝飾器，前者給需要對honeypot字段進行驗證的視圖函數使用，后者給不需要對honeypot字段進行驗證的視圖函數使用。

#common/decorators.py

from functools import wrapsfrom django.conf import settingsfrom django.http import HttpResponseBadRequest, HttpResponseForbidden, HttpResponseRedirectfrom django.template.loader import render_to_stringfrom django.contrib.auth.decorators import user_passes_testdef honeypot_equals(val): '''Default verifier used if HONEYPOT_VERIFIER is not specified.Ensures val == HONEYPOT_VALUE or HONEYPOT_VALUE() if it’s a callable. ''' expected = getattr(settings, ’HONEYPOT_VALUE’, ’’) if callable(expected):expected = expected() return val == expecteddef verify_honeypot_value(request, field_name): '''Verify that request.POST[field_name] is a valid honeypot.Ensures that the field exists and passes verification according toHONEYPOT_VERIFIER. ''' verifier = getattr(settings, ’HONEYPOT_VERIFIER’, honeypot_equals) if request.method == ’POST’:field = field_name or settings.HONEYPOT_FIELD_NAMEif field not in request.POST or not verifier(request.POST[field]): response = render_to_string(’common/snippets/honeypot_error.html’, {’fieldname’: field}) return HttpResponseBadRequest(response)def check_honeypot(func=None, field_name=None): '''Check request.POST for valid honeypot field.Takes an optional field_name that defaults to HONEYPOT_FIELD_NAME ifnot specified. ''' # hack to reverse arguments if called with str param if isinstance(func, str):func, field_name = field_name, func def wrapper(func):@wraps(func)def inner(request, *args, **kwargs): response = verify_honeypot_value(request, field_name) if response:return response else:return func(request, *args, **kwargs)return inner if func is None:def decorator(func): return wrapper(func)return decorator return wrapper(func)def honeypot_exempt(func): '''Mark view as exempt from honeypot validation ''' # borrowing liberally from django’s csrf_exempt @wraps(func) def wrapper(*args, **kwargs):return func(*args, **kwargs) wrapper.honeypot_exempt = True return wrapper

上面代碼最重要的就是verify_honeypot_value函數了。如果用戶通過POST方式提交的表單里沒有honeypot字段或該字段的值不等于settings.py中的默認值，則驗證失敗并返回如下錯誤：

# common/snippets/honeypot_error.html

<!DOCTYPE html><html lang='en'> <body> <h1>400 Bad POST Request</h1> <p>We have detected a suspicious request. Your request is aborted.</p> </body></html>

定義好裝飾器后，我們對需要處理POST表單的視圖函數加上@check_honeypot就行了，是不是很簡單？

from common.decorators import check_honeypot@check_honeypotdef signup(request): if request.method == 'POST':form = SignUpForm(request.POST)if form.is_valid(): user = form.save() login(request, user） return HttpResponseRedirect(reverse(’users:profile’)) else:form = SignUpForm() return render(request, 'users/signup.html', {'form': form, })參考

本文核心代碼參考了James Sturk的Django-honeypot項目。原項目地址如下所示：

https://github.com/jamesturk/django-honeypot/

以上就是Django給表單添加honeypot驗證增加安全性的詳細內容，更多關于Django 添加honeypot驗證的資料請關注好吧啦網其它相關文章！