Django表单添加honeypot有什么作用,具体实现是怎样
Admin 2022-06-28 群英技术资讯 309 次浏览
今天这篇给大家分享的知识是“Django表单添加honeypot有什么作用,具体实现是怎样”,小编觉得挺不错的,对大家学习或是工作可能会有所帮助,对此分享发大家做个参考,希望这篇“Django表单添加honeypot有什么作用,具体实现是怎样”文章能帮助大家解决问题。如果你的网站中允许匿名用户通过POST方式提交表单, 比如用户注册表, 评论表或者留下用户联系方式的表单,你一定要防止机器人或爬虫程序恶意提交大量的垃圾数据到你的数据库中。这种情况不是可能会发生,而是一定会发生。一种解决这种问题的方式就是在表单中加入人机交互验证码(CAPTCHA), 另一种方式就是在表单中加入honeypot隐藏字段,然后在视图中对隐藏字段的值进行验证。两种验证方式的目的都是一样,防止机器人或程序通过伪装成人来提交数据。今天我们就来详细介绍下如何在表单中添加honeypot增加安全性。
Honeypot的工作原理
Honeypot又名蜜罐,其实本质上是种陷阱。我们在表单中故意通过CSS隐藏一些字段, 这些字段一般人是不可见的。然而机器人或程序会以为这些字段也是必需的字段(required), 所以会补全后提交表单,这就中了我们的陷阱。在视图中我们可以通过装饰器对用户提交的表单数据进行判断,来验证表单的合法性。比如honeypot字段本来应该为空的,现在居然有内容了,显然这是机器人或程序提交的数据,我们可以拒绝其请求。
Django中如何实现表单honeypot验证?
Django表单中添加honeypot,一共分两步:
1. 编写模板标签(templatetags),在包含模板的表单中生成honeypot字段。
2. 编写装饰器(decorators.py), 对POST请求发送来的表单数据进行验证。
由于honeypot的功能所有app都可以用到,我们创建了一个叫common的app。整个项目的目录结构如下所示。只有标蓝色的4个文件,是与honeypot相关的。
编写模板标签
我们在common目录下新建templatetags目录(包含一个空的__init__.py),然后在新建common_tags_filters.py, 添加如下代码。
from django import template
from django.conf import settings
from django.template.defaultfilters import stringfilter
register = template.Library()
# used to render honeypot field
@register.inclusion_tag('common/snippets/honeypot_field.html')
def render_honeypot_field(field_name=None):
"""
Renders honeypot field named field_name (defaults to HONEYPOT_FIELD_NAME).
"""
if not field_name:
field_name = getattr(settings, 'HONEYPOT_FIELD_NAME', 'name1')
value = getattr(settings, 'HONEYPOT_VALUE', '')
if callable(value):
value = value()
return {'fieldname': field_name, 'value': value}
我们现在来看下上面这段代码如何工作的。我们创建了一个名为render_honeypot_field的模板标签,用于在模板中生成honeypot字段。honeypot字段名是settings.py里HONEYPOT_FIELD_NAME,如果没有此项设置,默认值为name1。honeypot字段的默认值是HONEYPOT_VALUE, 如果没有此项设置,默认值为空字符串''。然后这个函数将fieldname和value传递给如下模板片段。
# common/snippets/honeypot_field.html
<div class="form-control" style="display: none;">
<label><input type="text" name="{{ fieldname }}" value="{{ value }}" />
</label>
</div>
在Django模板的表单中生成honeypot字段只需按如下操作:
{% load common_tags_filters %}
{% load static %}
<form method="post" action="">
{% csrf_token %}
{% render_honeypot_field %}
{% form.as_p %}
</form>
编写装饰器
在common文件下新建decorators.py, 添加如下代码。我们编写了check_honeypot和honeypot_exempt两个装饰器,前者给需要对honeypot字段进行验证的视图函数使用,后者给不需要对honeypot字段进行验证的视图函数使用。
#common/decorators.py
from functools import wraps
from django.conf import settings
from django.http import HttpResponseBadRequest, HttpResponseForbidden, HttpResponseRedirect
from django.template.loader import render_to_string
from django.contrib.auth.decorators import user_passes_test
def honeypot_equals(val):
"""
Default verifier used if HONEYPOT_VERIFIER is not specified.
Ensures val == HONEYPOT_VALUE or HONEYPOT_VALUE() if it's a callable.
"""
expected = getattr(settings, 'HONEYPOT_VALUE', '')
if callable(expected):
expected = expected()
return val == expected
def verify_honeypot_value(request, field_name):
"""
Verify that request.POST[field_name] is a valid honeypot.
Ensures that the field exists and passes verification according to
HONEYPOT_VERIFIER.
"""
verifier = getattr(settings, 'HONEYPOT_VERIFIER', honeypot_equals)
if request.method == 'POST':
field = field_name or settings.HONEYPOT_FIELD_NAME
if field not in request.POST or not verifier(request.POST[field]):
response = render_to_string('common/snippets/honeypot_error.html',
{'fieldname': field})
return HttpResponseBadRequest(response)
def check_honeypot(func=None, field_name=None):
"""
Check request.POST for valid honeypot field.
Takes an optional field_name that defaults to HONEYPOT_FIELD_NAME if
not specified.
"""
# hack to reverse arguments if called with str param
if isinstance(func, str):
func, field_name = field_name, func
def wrapper(func):
@wraps(func)
def inner(request, *args, **kwargs):
response = verify_honeypot_value(request, field_name)
if response:
return response
else:
return func(request, *args, **kwargs)
return inner
if func is None:
def decorator(func):
return wrapper(func)
return decorator
return wrapper(func)
def honeypot_exempt(func):
"""
Mark view as exempt from honeypot validation
"""
# borrowing liberally from django's csrf_exempt
@wraps(func)
def wrapper(*args, **kwargs):
return func(*args, **kwargs)
wrapper.honeypot_exempt = True
return wrapper
上面代码最重要的就是verify_honeypot_value函数了。如果用户通过POST方式提交的表单里没有honeypot字段或该字段的值不等于settings.py中的默认值,则验证失败并返回如下错误:
# common/snippets/honeypot_error.html
<!DOCTYPE html>
<html lang="en">
<body>
<h1>400 Bad POST Request</h1>
<p>We have detected a suspicious request. Your request is aborted.</p>
</body>
</html>
定义好装饰器后,我们对需要处理POST表单的视图函数加上@check_honeypot就行了,是不是很简单?
from common.decorators import check_honeypot
@check_honeypot
def signup(request):
if request.method == "POST":
form = SignUpForm(request.POST)
if form.is_valid():
user = form.save()
login(request, user)
return HttpResponseRedirect(reverse('users:profile'))
else:
form = SignUpForm()
return render(request, "users/signup.html", {"form": form, })
参考
关于“Django表单添加honeypot有什么作用,具体实现是怎样”就介绍到这了,如果大家觉得不错可以参考了解看看,如果想要了解更多,欢迎关注群英网络,小编每天都会为大家更新不同的知识。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:mmqy2019@163.com进行举报,并提供相关证据,查实之后,将立刻删除涉嫌侵权内容。
猜你喜欢
-
用python怎样给图片添加水印?三步骤轻松完成
python 如何实现给图片加水印?我们在一些网站或者软件上,上传或者发布图片的时候,会看到图片被自动添加上了水印,那么这是怎么样实现的呢?下面小编就给大家分享使用Python实现给图片指定位置添加水印的方法,感兴趣的朋友就继续往下看吧。
-
Python break语句常用于什么,有何使用技巧
break语句用于提前终止当前循环。放弃循环后,直接执行循环块下一个语句,就像C语言中的break语句一样。
-
python怎样做链式调用?有啥好处?
python链式调用如何实现?关于链式调用也就是调用完一个函数后还能再继续调用其它函数,这样大大减少了代码量。那么在Python中如何实现链式调用呢?下面给大家分享一下实现方法。
-
pytest.ini如何设置使用,位置在哪里
本文主要介绍了pytest中配置文件pytest.ini使用,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
-
Python中的Plotly的应用有什么,具体怎么使用的
对于Python语言来说,比较传统的数据可视化模块是Matplotlib,但它存在不够美观、静态性、不易分享等缺点,限制了Python在数据可视化方面的发展。为了解决这个问题,新型的动态可视化开源模块Plotly应运而生。本文将为大家详细介绍Plotly的用法,需要的可以参考一下
推荐内容
成为群英会员,开启智能安全云计算之旅
立即注册
Copyright © QY Network Company Ltd. All Rights Reserved. 2003-2020 群英 版权所有
增值电信经营许可证 : B1.B2-20140078 粤ICP备09006778号 域名注册商资质 粤 D3.1-20240008
