---

Cloudflare Turnstile 实战：轻松集成网站防机器人

在当今的互联网环境中，机器人流量（Bots）对网站的威胁无处不在。无论是垃圾邮件、撞库攻击、账户注册滥用还是数据抓取，恶意机器人都在不断消耗服务器资源、损害用户体验甚至造成经济损失。传统的 CAPTCHA（验证码）虽然能够提供一定的防护，但其复杂的挑战形式往往会给正常用户带来不便，影响网站转化率。

Cloudflare Turnstile 作为新一代的无感验证解决方案，旨在解决这一痛点。它提供了一种更智能、更用户友好的方式来区分人类和机器人，同时最大限度地减少对真实用户的干扰。

什么是 Cloudflare Turnstile？

Cloudflare Turnstile 是 Cloudflare 推出的一款智能无感验证服务。它通过分析一系列客户端信号（如浏览器特性、用户行为模式等）来评估请求的风险级别，而无需用户解决视觉或听觉挑战。对于低风险请求，它几乎是瞬时且完全透明的；对于高风险请求，它可能会在后台运行一些轻量级的、非侵入式的挑战，例如计算证明（Proof-of-Work），而用户甚至可能不会察觉。

为什么选择 Cloudflare Turnstile？

1. 无感体验，提升用户转化率：告别了传统验证码的“找汽车”、“选斑马线”等耗时操作，Turnstile 大大减少了用户摩擦，提升了用户体验和转化率。
2. 更智能的风险识别：利用 Cloudflare 庞大的网络情报和机器学习能力，Turnstile 能够更准确地识别恶意机器人，而非简单地依赖挑战题。
3. 易于集成：提供简单的前端 JavaScript 片段和后端 API 验证机制，使得集成过程快速而直接。
4. 保护用户隐私：不使用 Cookie，也不会收集用户的个人身份信息，专注于识别机器人行为。
5. 免费提供：Cloudflare 为所有开发者免费提供 Turnstile 服务，使其成为性价比极高的防机器人选择。

如何集成 Cloudflare Turnstile？（实战教程）

集成 Cloudflare Turnstile 主要分为两个步骤：前端集成和后端验证。

步骤一：在 Cloudflare 控制台创建你的第一个 Site

1. 登录 Cloudflare 账户：如果你还没有账户，需要先注册一个。
2. 导航到 Turnstile 页面：在 Cloudflare 控制台中，找到 Website 或 Security 选项，然后寻找 Turnstile 或 CAPTCHA 相关设置。
3. 添加新的 Site：点击 Add a site 按钮。
   • Site Name：为你的 Turnstile 实例取一个易于识别的名称（例如，“My Website Login Form”）。
   • Domain：填写你将使用 Turnstile 的域名（例如，your-website.com）。你也可以指定多个域名。
   • Widget Type：选择 Managed。这是推荐的模式，它会根据风险级别自动选择最佳的验证方式（无感、轻量挑战等）。你也可以选择 Invisible 或 Non-interactive，但 Managed 通常是最好的起点。
4. 获取 Site Key 和 Secret Key：创建成功后，Cloudflare 会为你生成一个 Site Key 和一个 Secret Key。
   • Site Key：用于前端，标识你的 Turnstile widget。
   • Secret Key：用于后端，在服务器端验证用户提交的 Turnstile 响应。请务必妥善保管 Secret Key，不要泄露给客户端！

步骤二：前端集成

将 Turnstile widget 嵌入到你的 HTML 页面中，通常是在表单提交按钮附近。

1. 引入 Turnstile JavaScript 库：在你的 HTML 页面 <head> 或 </body> 标签之前添加以下脚本。defer 属性确保脚本在 HTML 解析完毕后再执行，避免阻塞页面渲染。

   html
<script src="https://challenges.cloudflare.com/turnstile/v0/api.js" async defer></script>

2. 添加 Turnstile Widget 容器：在你的表单中，你希望显示验证码的位置（通常在提交按钮上方）添加一个 div 元素。

   “`html

   
   
   

   <!-- Turnstile Widget 容器 -->
   <div class="cf-turnstile" data-sitekey="YOUR_SITE_KEY" data-callback="onSubmitForm"></div>
   
   <button type="submit">提交</button>
   

   
   “`

   注意：
   * 将 YOUR_SITE_KEY 替换为你从 Cloudflare 获取的 Site Key。
   * data-callback="onSubmitForm"：这是一个可选属性。当 Turnstile 验证成功时，它会调用名为 onSubmitForm 的 JavaScript 函数，并将生成的响应令牌作为参数传递。这个令牌是后端验证的关键。
   * 如果你没有指定 data-callback，Turnstile 会自动在 div 容器内创建一个名为 cf-turnstile-response 的隐藏输入字段，并将令牌放入其中。在后端，你可以直接从表单数据中获取这个字段的值。为了明确性和更好的控制，推荐使用 data-callback。

   如果使用 data-callback 方法，你需要在表单中手动添加一个隐藏字段来存储令牌：

   “`html

   
   提交
   

   
   “`

步骤三：后端验证

当用户提交表单时，你需要将 Turnstile 生成的响应令牌发送到你的后端服务器，并在服务器端向 Cloudflare API 发送请求进行验证。

这是一个使用 Python (Flask 框架) 的后端验证示例：

“`python
from flask import Flask, request, jsonify
import requests
import os

app = Flask(name)

从环境变量或配置文件中获取 Secret Key

注意：在生产环境中，请不要硬编码 Secret Key，而是使用环境变量或安全的配置管理方式

CLOUDFLARE_SECRET_KEY = os.environ.get(“CLOUDFLARE_SECRET_KEY”, “YOUR_SECRET_KEY_HERE”)

@app.route(‘/submit-form’, methods=[‘POST’])
def submit_form():
turnstile_response = request.form.get(‘cf-turnstile-response’)

if not turnstile_response:
    return jsonify({"success": False, "message": "Turnstile 令牌缺失"}), 400

# 向 Cloudflare API 发送验证请求
verify_url = "https://challenges.cloudflare.com/turnstile/v0/siteverify"
payload = {
    "secret": CLOUDFLARE_SECRET_KEY,
    "response": turnstile_response,
    # "remoteip": request.remote_addr # 可选：发送用户IP地址以增强验证，但需注意隐私合规
}

try:
    response = requests.post(verify_url, data=payload)
    response.raise_for_status() # 如果请求失败，抛出异常
    verification_result = response.json()

    if verification_result.get("success"):
        # Turnstile 验证通过
        # 在这里处理你的表单数据，例如保存到数据库
        username = request.form.get('username')
        password = request.form.get('password')
        print(f"验证成功！ 用户名: {username}, 密码: {password}")
        return jsonify({"success": True, "message": "表单提交成功！"}), 200
    else:
        # Turnstile 验证失败
        print(f"Turnstile 验证失败: {verification_result.get('error-codes')}")
        return jsonify({"success": False, "message": "机器人验证失败，请重试。"}), 403

except requests.exceptions.RequestException as e:
    print(f"Cloudflare API 请求错误: {e}")
    return jsonify({"success": False, "message": "服务器验证错误，请稍后再试。"}), 500

if name == ‘main‘:
app.run(debug=True) # 生产环境中请关闭 debug
“`

后端验证的关键点：

• 获取响应令牌：从前端表单提交的数据中获取 cf-turnstile-response 字段的值。
• 发送 POST 请求到 Cloudflare 验证端点：
  • URL: https://challenges.cloudflare.com/turnstile/v0/siteverify
  • 请求方法: POST
  • 请求体 (form-encoded):
    • secret: 你的 Secret Key。
    • response: 用户端获得的 cf-turnstile-response 令牌。
    • remoteip (可选): 用户的 IP 地址，可进一步增强验证的准确性。
• 处理验证结果：
  • 如果 success 字段为 true，则表示用户通过了验证，可以继续处理表单数据。
  • 如果 success 字段为 false，则表示验证失败，你需要拒绝表单提交，并可能提示用户重试。error-codes 字段会提供失败原因。

示例 HTML (完整版)

“`html

“`

请记住将 YOUR_SITE_KEY 替换为你的实际 Site Key。

总结

Cloudflare Turnstile 提供了一个强大而优雅的解决方案，用于保护网站免受恶意机器人的侵害，同时保持了卓越的用户体验。通过简单的前端集成和可靠的后端验证，你可以轻松地为你的网站添加一层先进的无感安全防护。抛弃传统的、令人沮丧的验证码，拥抱更智能、更友好的网站安全未来吧！