您好,登錄后才能下訂單哦!
這篇文章給大家介紹使用Django怎么給表單添加honeypot驗證,內容非常詳細,感興趣的小伙伴們可以參考借鑒,希望對大家能有所幫助。
Honeypot又名蜜罐,其實本質上是種陷阱。我們在表單中故意通過CSS隱藏一些字段, 這些字段一般人是不可見的。然而機器人或程序會以為這些字段也是必需的字段(required), 所以會補全后提交表單,這就中了我們的陷阱。在視圖中我們可以通過裝飾器對用戶提交的表單數據進行判斷,來驗證表單的合法性。比如honeypot字段本來應該為空的,現在居然有內容了,顯然這是機器人或程序提交的數據,我們可以拒絕其請求。
Django表單中添加honeypot,一共分兩步:
1. 編寫模板標簽(templatetags),在包含模板的表單中生成honeypot字段。
2. 編寫裝飾器(decorators.py), 對POST請求發送來的表單數據進行驗證。
由于honeypot的功能所有app都可以用到,我們創建了一個叫common的app。整個項目的目錄結構如下所示。只有標藍色的4個文件,是與honeypot相關的。
我們在common目錄下新建templatetags目錄(包含一個空的__init__.py),然后在新建common_tags_filters.py, 添加如下代碼。
from django import template from django.conf import settings from django.template.defaultfilters import stringfilter register = template.Library() # used to render honeypot field @register.inclusion_tag('common/snippets/honeypot_field.html') def render_honeypot_field(field_name=None): """ Renders honeypot field named field_name (defaults to HONEYPOT_FIELD_NAME). """ if not field_name: field_name = getattr(settings, 'HONEYPOT_FIELD_NAME', 'name1') value = getattr(settings, 'HONEYPOT_VALUE', '') if callable(value): value = value() return {'fieldname': field_name, 'value': value}
我們現在來看下上面這段代碼如何工作的。我們創建了一個名為render_honeypot_field的模板標簽,用于在模板中生成honeypot字段。honeypot字段名是settings.py里HONEYPOT_FIELD_NAME,如果沒有此項設置,默認值為name1。honeypot字段的默認值是HONEYPOT_VALUE, 如果沒有此項設置,默認值為空字符串''。然后這個函數將fieldname和value傳遞給如下模板片段。
# common/snippets/honeypot_field.html
<div class="form-control" > <label><input type="text" name="{{ fieldname }}" value="{{ value }}" /> </label> </div>
在Django模板的表單中生成honeypot字段只需按如下操作:
{% load common_tags_filters %} {% load static %} <form method="post" action=""> {% csrf_token %} {% render_honeypot_field %} {% form.as_p %} </form>
在common文件下新建decorators.py, 添加如下代碼。我們編寫了check_honeypot和honeypot_exempt兩個裝飾器,前者給需要對honeypot字段進行驗證的視圖函數使用,后者給不需要對honeypot字段進行驗證的視圖函數使用。
#common/decorators.py
from functools import wraps from django.conf import settings from django.http import HttpResponseBadRequest, HttpResponseForbidden, HttpResponseRedirect from django.template.loader import render_to_string from django.contrib.auth.decorators import user_passes_test def honeypot_equals(val): """ Default verifier used if HONEYPOT_VERIFIER is not specified. Ensures val == HONEYPOT_VALUE or HONEYPOT_VALUE() if it's a callable. """ expected = getattr(settings, 'HONEYPOT_VALUE', '') if callable(expected): expected = expected() return val == expected def verify_honeypot_value(request, field_name): """ Verify that request.POST[field_name] is a valid honeypot. Ensures that the field exists and passes verification according to HONEYPOT_VERIFIER. """ verifier = getattr(settings, 'HONEYPOT_VERIFIER', honeypot_equals) if request.method == 'POST': field = field_name or settings.HONEYPOT_FIELD_NAME if field not in request.POST or not verifier(request.POST[field]): response = render_to_string('common/snippets/honeypot_error.html', {'fieldname': field}) return HttpResponseBadRequest(response) def check_honeypot(func=None, field_name=None): """ Check request.POST for valid honeypot field. Takes an optional field_name that defaults to HONEYPOT_FIELD_NAME if not specified. """ # hack to reverse arguments if called with str param if isinstance(func, str): func, field_name = field_name, func def wrapper(func): @wraps(func) def inner(request, *args, **kwargs): response = verify_honeypot_value(request, field_name) if response: return response else: return func(request, *args, **kwargs) return inner if func is None: def decorator(func): return wrapper(func) return decorator return wrapper(func) def honeypot_exempt(func): """ Mark view as exempt from honeypot validation """ # borrowing liberally from django's csrf_exempt @wraps(func) def wrapper(*args, **kwargs): return func(*args, **kwargs) wrapper.honeypot_exempt = True return wrapper
上面代碼最重要的就是verify_honeypot_value函數了。如果用戶通過POST方式提交的表單里沒有honeypot字段或該字段的值不等于settings.py中的默認值,則驗證失敗并返回如下錯誤:
# common/snippets/honeypot_error.html
<!DOCTYPE html> <html lang="en"> <body> <h2>400 Bad POST Request</h2> <p>We have detected a suspicious request. Your request is aborted.</p> </body> </html>
定義好裝飾器后,我們對需要處理POST表單的視圖函數加上@check_honeypot就行了,是不是很簡單?
from common.decorators import check_honeypot @check_honeypot def signup(request): if request.method == "POST": form = SignUpForm(request.POST) if form.is_valid(): user = form.save() login(request, user) return HttpResponseRedirect(reverse('users:profile')) else: form = SignUpForm() return render(request, "users/signup.html", {"form": form, })
關于使用Django怎么給表單添加honeypot驗證就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。