Mam ogólne pytanie dotyczące formularzy Django(w szczególności formularz kontaktowy), jeśli chodzi o środki bezpieczeństwa. Czy powinienem używać CAPTCHA? Czy formularze napisane w Pythonie nie cierpią na te same problemy co PHP?
Odpowiedzi:
3 dla odpowiedzi № 1Formularze Django mają wbudowaną ochronę przed CSRF (a.k.a. XSRF), który jest rodzajem ataku, który pozwala hakerowi publikować treści w witrynie bez znaczenia dla zalogowanego użytkownika. PHP nie działa.
Captchas będzie chronił przed CSRF, ale "częściej używa się ich w celu ochrony przed robotami wypełniającymi twoją formę bez udziału człowieka.
Zależy więc od tego, co próbujesz chronić przed. Jeśli chcesz zmniejszyć spam lub podobny błąd, użyj Captcha, tak jak w PHP. Jeśli wszystko, czym się martwisz, to CSRF, to nie kłopocz się.
0 dla odpowiedzi nr 2
Prowadziłem stronę Django od kilku lat. Nasz formularz opinii otrzymał kilka zgłoszeń tygodniowo od botów. Captcha zatrzymał to. Podejrzewam, że tempo przesyłania botów jest bardzo zmienne i zależy od zawartości witryny.
To, czy używać captcha sprowadza się do kompromisu między wygodą dla użytkowników a tolerancją dla zgłoszeń śmieciowych.