Django給表單添加honeypot驗證增加安全性

Posted on by

如果你的網站中允許匿名用戶通過POST方式提交表單, 比如用戶註冊表, 評論表或者留下用戶聯系方式的表單,你一定要防止機器人或爬蟲程序惡意提交大量的垃圾數據到你的數據庫中。這種情況不是可能會發生,而是一定會發生。一種解決這種問題的方式就是在表單中加入人機交互驗證碼(CAPTCHA), 另一種方式就是在表單中加入honeypot隱藏字段,然後在視圖中對隱藏字段的值進行驗證。兩種驗證方式的目的都是一樣,防止機器人或程序通過偽裝成人來提交數據。今天我們就來詳細介紹下如何在表單中添加honeypot增加安全性。

Honeypot的工作原理

Honeypot又名蜜罐,其實本質上是種陷阱。我們在表單中故意通過CSS隱藏一些字段, 這些字段一般人是不可見的。然而機器人或程序會以為這些字段也是必需的字段(required), 所以會補全後提交表單,這就中瞭我們的陷阱。在視圖中我們可以通過裝飾器對用戶提交的表單數據進行判斷,來驗證表單的合法性。比如honeypot字段本來應該為空的,現在居然有內容瞭,顯然這是機器人或程序提交的數據,我們可以拒絕其請求。

Django中如何實現表單honeypot驗證?

Django表單中添加honeypot,一共分兩步:

1. 編寫模板標簽(templatetags),在包含模板的表單中生成honeypot字段。

2. 編寫裝飾器(decorators.py), 對POST請求發送來的表單數據進行驗證。

由於honeypot的功能所有app都可以用到,我們創建瞭一個叫common的app。整個項目的目錄結構如下所示。隻有標藍色的4個文件,是與honeypot相關的。

編寫模板標簽

我們在common目錄下新建templatetags目錄(包含一個空的__init__.py),然後在新建common_tags_filters.py, 添加如下代碼。

from django import template
from django.conf import settings
from django.template.defaultfilters import stringfilter


register = template.Library()


# used to render honeypot field
@register.inclusion_tag('common/snippets/honeypot_field.html')
def render_honeypot_field(field_name=None):
    """
        Renders honeypot field named field_name (defaults to HONEYPOT_FIELD_NAME).
    """
    if not field_name:
        field_name = getattr(settings, 'HONEYPOT_FIELD_NAME', 'name1')
    value = getattr(settings, 'HONEYPOT_VALUE', '')
    if callable(value):
        value = value()
    return {'fieldname': field_name, 'value': value}

我們現在來看下上面這段代碼如何工作的。我們創建瞭一個名為render_honeypot_field的模板標簽,用於在模板中生成honeypot字段。honeypot字段名是settings.py裡HONEYPOT_FIELD_NAME,如果沒有此項設置,默認值為name1。honeypot字段的默認值是HONEYPOT_VALUE, 如果沒有此項設置,默認值為空字符串”。然後這個函數將fieldname和value傳遞給如下模板片段。

# common/snippets/honeypot_field.html

<div class="form-control" style="display: none;">
        <label><input type="text" name="{{ fieldname }}" value="{{ value }}" />
    </label>
</div>

在Django模板的表單中生成honeypot字段隻需按如下操作:

{% load common_tags_filters %}
{% load static %}

<form method="post" action="">
     {% csrf_token %}
    {% render_honeypot_field %}
    {% form.as_p %}
</form>

編寫裝飾器

在common文件下新建decorators.py, 添加如下代碼。我們編寫瞭check_honeypot和honeypot_exempt兩個裝飾器,前者給需要對honeypot字段進行驗證的視圖函數使用,後者給不需要對honeypot字段進行驗證的視圖函數使用。

#common/decorators.py

from functools import wraps
from django.conf import settings
from django.http import HttpResponseBadRequest, HttpResponseForbidden, HttpResponseRedirect
from django.template.loader import render_to_string
from django.contrib.auth.decorators import user_passes_test


def honeypot_equals(val):
    """
        Default verifier used if HONEYPOT_VERIFIER is not specified.
        Ensures val == HONEYPOT_VALUE or HONEYPOT_VALUE() if it's a callable.
    """
    expected = getattr(settings, 'HONEYPOT_VALUE', '')
    if callable(expected):
        expected = expected()
    return val == expected


def verify_honeypot_value(request, field_name):
    """
        Verify that request.POST[field_name] is a valid honeypot.
        Ensures that the field exists and passes verification according to
        HONEYPOT_VERIFIER.
    """
    verifier = getattr(settings, 'HONEYPOT_VERIFIER', honeypot_equals)
    if request.method == 'POST':
        field = field_name or settings.HONEYPOT_FIELD_NAME
        if field not in request.POST or not verifier(request.POST[field]):
            response = render_to_string('common/snippets/honeypot_error.html',
                                    {'fieldname': field})
            return HttpResponseBadRequest(response)


def check_honeypot(func=None, field_name=None):
    """
        Check request.POST for valid honeypot field.
        Takes an optional field_name that defaults to HONEYPOT_FIELD_NAME if
        not specified.
    """
    # hack to reverse arguments if called with str param
    if isinstance(func, str):
        func, field_name = field_name, func

    def wrapper(func):
        @wraps(func)
        def inner(request, *args, **kwargs):
            response = verify_honeypot_value(request, field_name)
            if response:
                return response
            else:
                return func(request, *args, **kwargs)
        return inner

    if func is None:
        def decorator(func):
            return wrapper(func)
        return decorator

    return wrapper(func)


def honeypot_exempt(func):
    """
        Mark view as exempt from honeypot validation
    """
    # borrowing liberally from django's csrf_exempt
    @wraps(func)
    def wrapper(*args, **kwargs):
        return func(*args, **kwargs)
    wrapper.honeypot_exempt = True
    return wrapper

上面代碼最重要的就是verify_honeypot_value函數瞭。如果用戶通過POST方式提交的表單裡沒有honeypot字段或該字段的值不等於settings.py中的默認值,則驗證失敗並返回如下錯誤:

# common/snippets/honeypot_error.html

<!DOCTYPE html>
<html lang="en">
    <body>
    <h1>400 Bad POST Request</h1>
    <p>We have detected a suspicious request. Your request is aborted.</p>
    </body>
</html>

定義好裝飾器後,我們對需要處理POST表單的視圖函數加上@check_honeypot就行瞭,是不是很簡單?

from common.decorators import check_honeypot


@check_honeypot
def signup(request):
    if request.method == "POST":
        form = SignUpForm(request.POST)
        if form.is_valid():
            user = form.save()
            login(request, user)
            return HttpResponseRedirect(reverse('users:profile'))
    else:
        form = SignUpForm()

    return render(request, "users/signup.html", {"form": form, })

參考

本文核心代碼參考瞭James Sturk的Django-honeypot項目。原項目地址如下所示:

https://github.com/jamesturk/django-honeypot/

以上就是Django給表單添加honeypot驗證增加安全性的詳細內容,更多關於Django 添加honeypot驗證的資料請關註WalkonNet其它相關文章!

推薦閱讀: