编程 Python

Django给表单添加honeypot验证增加安全性

Posted in Python onMay 06, 2021

如果你的网站中允许匿名用户通过POST方式提交表单, 比如用户注册表, 评论表或者留下用户联系方式的表单，你一定要防止机器人或爬虫程序恶意提交大量的垃圾数据到你的数据库中。这种情况不是可能会发生，而是一定会发生。一种解决这种问题的方式就是在表单中加入人机交互验证码(CAPTCHA), 另一种方式就是在表单中加入honeypot隐藏字段，然后在视图中对隐藏字段的值进行验证。两种验证方式的目的都是一样，防止机器人或程序通过伪装成人来提交数据。今天我们就来详细介绍下如何在表单中添加honeypot增加安全性。

Honeypot的工作原理

Honeypot又名蜜罐，其实本质上是种陷阱。我们在表单中故意通过CSS隐藏一些字段, 这些字段一般人是不可见的。然而机器人或程序会以为这些字段也是必需的字段(required), 所以会补全后提交表单，这就中了我们的陷阱。在视图中我们可以通过装饰器对用户提交的表单数据进行判断，来验证表单的合法性。比如honeypot字段本来应该为空的，现在居然有内容了，显然这是机器人或程序提交的数据，我们可以拒绝其请求。

Django中如何实现表单honeypot验证？

Django表单中添加honeypot，一共分两步：

1. 编写模板标签(templatetags)，在包含模板的表单中生成honeypot字段。

2. 编写装饰器(decorators.py), 对POST请求发送来的表单数据进行验证。

由于honeypot的功能所有app都可以用到，我们创建了一个叫common的app。整个项目的目录结构如下所示。只有标蓝色的4个文件，是与honeypot相关的。

Django给表单添加honeypot验证增加安全性

编写模板标签

我们在common目录下新建templatetags目录(包含一个空的__init__.py)，然后在新建common_tags_filters.py, 添加如下代码。

from django import template
from django.conf import settings
from django.template.defaultfilters import stringfilter


register = template.Library()


# used to render honeypot field
@register.inclusion_tag('common/snippets/honeypot_field.html')
def render_honeypot_field(field_name=None):
    """
        Renders honeypot field named field_name (defaults to HONEYPOT_FIELD_NAME).
    """
    if not field_name:
        field_name = getattr(settings, 'HONEYPOT_FIELD_NAME', 'name1')
    value = getattr(settings, 'HONEYPOT_VALUE', '')
    if callable(value):
        value = value()
    return {'fieldname': field_name, 'value': value}

我们现在来看下上面这段代码如何工作的。我们创建了一个名为render_honeypot_field的模板标签，用于在模板中生成honeypot字段。honeypot字段名是settings.py里HONEYPOT_FIELD_NAME，如果没有此项设置，默认值为name1。honeypot字段的默认值是HONEYPOT_VALUE, 如果没有此项设置，默认值为空字符串''。然后这个函数将fieldname和value传递给如下模板片段。

# common/snippets/honeypot_field.html

<div class="form-control" style="display: none;">
        <label><input type="text" name="{{ fieldname }}" value="{{ value }}" />
    </label>
</div>

在Django模板的表单中生成honeypot字段只需按如下操作：

{% load common_tags_filters %}
{% load static %}

<form method="post" action="">
     {% csrf_token %}
    {% render_honeypot_field %}
    {% form.as_p %}
</form>

编写装饰器

在common文件下新建decorators.py, 添加如下代码。我们编写了check_honeypot和honeypot_exempt两个装饰器，前者给需要对honeypot字段进行验证的视图函数使用，后者给不需要对honeypot字段进行验证的视图函数使用。

#common/decorators.py

from functools import wraps
from django.conf import settings
from django.http import HttpResponseBadRequest, HttpResponseForbidden, HttpResponseRedirect
from django.template.loader import render_to_string
from django.contrib.auth.decorators import user_passes_test


def honeypot_equals(val):
    """
        Default verifier used if HONEYPOT_VERIFIER is not specified.
        Ensures val == HONEYPOT_VALUE or HONEYPOT_VALUE() if it's a callable.
    """
    expected = getattr(settings, 'HONEYPOT_VALUE', '')
    if callable(expected):
        expected = expected()
    return val == expected


def verify_honeypot_value(request, field_name):
    """
        Verify that request.POST[field_name] is a valid honeypot.
        Ensures that the field exists and passes verification according to
        HONEYPOT_VERIFIER.
    """
    verifier = getattr(settings, 'HONEYPOT_VERIFIER', honeypot_equals)
    if request.method == 'POST':
        field = field_name or settings.HONEYPOT_FIELD_NAME
        if field not in request.POST or not verifier(request.POST[field]):
            response = render_to_string('common/snippets/honeypot_error.html',
                                    {'fieldname': field})
            return HttpResponseBadRequest(response)


def check_honeypot(func=None, field_name=None):
    """
        Check request.POST for valid honeypot field.
        Takes an optional field_name that defaults to HONEYPOT_FIELD_NAME if
        not specified.
    """
    # hack to reverse arguments if called with str param
    if isinstance(func, str):
        func, field_name = field_name, func

    def wrapper(func):
        @wraps(func)
        def inner(request, *args, **kwargs):
            response = verify_honeypot_value(request, field_name)
            if response:
                return response
            else:
                return func(request, *args, **kwargs)
        return inner

    if func is None:
        def decorator(func):
            return wrapper(func)
        return decorator

    return wrapper(func)


def honeypot_exempt(func):
    """
        Mark view as exempt from honeypot validation
    """
    # borrowing liberally from django's csrf_exempt
    @wraps(func)
    def wrapper(*args, **kwargs):
        return func(*args, **kwargs)
    wrapper.honeypot_exempt = True
    return wrapper

上面代码最重要的就是verify_honeypot_value函数了。如果用户通过POST方式提交的表单里没有honeypot字段或该字段的值不等于settings.py中的默认值，则验证失败并返回如下错误：

# common/snippets/honeypot_error.html

<!DOCTYPE html>
<html lang="en">
    <body>
    <h1>400 Bad POST Request</h1>
    <p>We have detected a suspicious request. Your request is aborted.</p>
    </body>
</html>

定义好装饰器后，我们对需要处理POST表单的视图函数加上@check_honeypot就行了，是不是很简单？

from common.decorators import check_honeypot


@check_honeypot
def signup(request):
    if request.method == "POST":
        form = SignUpForm(request.POST)
        if form.is_valid():
            user = form.save()
            login(request, user）
            return HttpResponseRedirect(reverse('users:profile'))
    else:
        form = SignUpForm()

    return render(request, "users/signup.html", {"form": form, })

参考

本文核心代码参考了James Sturk的Django-honeypot项目。原项目地址如下所示：

https://github.com/jamesturk/django-honeypot/

以上就是Django给表单添加honeypot验证增加安全性的详细内容，更多关于Django 添加honeypot验证的资料请关注三水点靠木其它相关文章！

Django给表单添加honeypot验证增加安全性

- Author -

大江狗

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

Python 相关文章推荐

Ubuntu安装Jupyter Notebook教程

Oct 18 Python

Python常见字典内建函数用法示例

May 14 Python

python调用Matplotlib绘制分布点并且添加标签

May 31 Python

Python实现读取txt文件中的数据并绘制出图形操作示例

Feb 26 Python

python实现祝福弹窗效果

Apr 07 Python

解决Python内层for循环如何break出外层的循环的问题

Jun 24 Python

python cv2在验证码识别中应用实例解析

Dec 25 Python

解决tensorboard多个events文件显示紊乱的问题

Feb 15 Python

jupyter notebook 的工作空间设置操作

Apr 20 Python

Python urllib.request对象案例解析

May 11 Python

django restframework serializer 增加自定义字段操作

Jul 15 Python

Python爬虫实战案例之爬取喜马拉雅音频数据详解

Dec 07 Python

Django利用AJAX技术实现博文实时搜索

May 06 #Python

python 如何获取页面所有a标签下href的值

May 06 #Python

Python中常见的导入方式总结

May 06 #Python

Python基础之hashlib模块详解

May 06 #Python

用Python爬虫破解滑动验证码的案例解析

python本地文件服务器实例教程

python字符串常规操作大全

You might like

PHP中文编码小技巧

2014/12/25 PHP

php上传大文件失败的原因及应对策略

2015/10/20 PHP

PHP基于SMTP协议实现邮件发送实例代码

2017/04/27 PHP

addRule在firefox下的兼容写法

2006/11/30 Javascript

收藏一些不常用，但是有用的代码

2007/03/12 Javascript

JAVASCRIPT style 中visibility和display之间的区别

2010/01/22 Javascript

使用javascript创建快捷方式的简单实例

2013/08/09 Javascript

js验证电话号码与手机支持+86的正则表达式

2014/01/23 Javascript

jQuery控制TR显示隐藏的三种常用方法

2014/08/21 Javascript

基于JQuery实现图片上传预览与删除操作

2016/05/24 Javascript

浅谈js多维数组和hash数组定义和使用

2016/07/27 Javascript

jquery的父、子、兄弟节点查找,节点的子节点循环方法

2016/12/07 Javascript

jquery.form.js异步提交表单详解

2017/04/25 jQuery

微信小程序本地图片按照屏幕尺寸处理

2017/08/04 Javascript

红黑树的插入详解及Javascript实现方法示例

2018/03/26 Javascript

JS使用JSON.parse(),JSON.stringify()实现对对象的深拷贝功能分析

2019/03/06 Javascript

jquery UI实现autocomplete在获取焦点时得到显示列表功能示例

2019/06/04 jQuery

原生js实现自定义滚动条组件

2021/01/20 Javascript

[01:36:17]DOTA2-DPC中国联赛正赛 Ehome vs iG BO3 第一场 1月31日

2021/03/11 DOTA

python压缩文件夹内所有文件为zip文件的方法

2015/06/20 Python

Python格式化输出%s和%d

2018/05/07 Python

python实现支付宝转账接口

2019/05/07 Python

python conda操作方法

2019/09/11 Python

Numpy 理解ndarray对象的示例代码

2020/04/03 Python

分享一个H5原生form表单的checkbox特效代码

2018/02/26 HTML / CSS

澳大利亚个性化儿童礼品网站：Bright Star Kids

2019/06/14 全球购物

学校办公室主任职责

2013/12/27 职场文书

二年级数学教学反思

2014/01/21 职场文书

幼儿生日活动方案

2014/08/27 职场文书

2015年乡镇信访工作总结

2015/04/07 职场文书

工程质量保证书

2015/05/09 职场文书

大国崛起日本观后感

2015/06/02 职场文书

家庭贫困证明

2015/06/16 职场文书

HTML5来实现本地文件读取和写入的实现方法

2021/05/25 HTML / CSS

springboot中一些比较常用的注解总结

2021/06/11 Java/Android

python 网络编程要点总结

2021/06/18 Python