لا أحد يستمتع باختبارات CAPTCHA. التحديق في إشارات المرور وصنابير الإطفاء لإثبات أنك إنسان هو ضريبة على كل زائر صادق، والبيانات التي تعيدها تلك الألغاز إلى شبكات الإعلانات مشكلة قائمة بذاتها. يستبدل Cloudflare Turnstile كل ذلك بفحص ذكي شبه غير مرئي يؤكد أن الزائر إنسان دون ألغاز ودون تتبعه ودون أن يكلفك شيئًا. في عام 2026 هو أنظف طريقة لحماية نموذج من البوتات.
يشرح هذا الدليل ما هو Turnstile، ولماذا يتفوق على reCAPTCHA لمعظم المواقع، وكيف تضيفه بالضبط إلى أي نموذج، بما في ذلك خطوة التحقق من جانب الخادم البالغة الأهمية التي تتخطاها كثير من الدروس.
باختصار
- Turnstile هو بديل CAPTCHA المجاني والمحترم للخصوصية من Cloudflare بلا ألغاز مرئية
- إنه مجاني بحدود سخية ويعمل على أي موقع، وليس فقط المواقع الموجودة بالفعل على Cloudflare
- يتكوّن الإعداد من جزأين: ودجت على نموذجك واستدعاء تحقق من جانب الخادم يجب ألا تتخطاه
- يقدّم أوضاع الودجت managed وnon-interactive وinvisible لتناسب نماذج مختلفة
- إنه بديل جاهز لـ reCAPTCHA في نماذج التواصل والتسجيل وتسجيل الدخول وصناديق التعليقات
ما هو Cloudflare Turnstile
Cloudflare Turnstile هو بديل لـ CAPTCHA يتحقق من أن الزوار بشر باستخدام سلسلة من تحديات المتصفح الخفيفة وغير المتطفلة التي تعمل في الخلفية. بدلًا من مطالبة المستخدم بحل لغز، يحلّل إشارات من المتصفح، وفي معظم الحالات يؤكد الزائر بصمت. وعندما يحتاج إلى تفاعل، يكون عادةً مربع اختيار واحدًا، وليس أبدًا شبكة صور.
والأهم أن Turnstile مصمم لاحترام الخصوصية. فهو لا يصنّف المستخدمين لبيع الإعلانات، ولا يعتمد على تتبع شخص عبر الويب. تحصل على حماية من البوتات دون تحويل زوارك إلى منتج بيانات، وهو أمر متزايد الأهمية للمواقع المهتمة بـ GDPR.
كما أنه يعمل على أي موقع. لست بحاجة إلى توجيه نطاقك عبر بروكسي Cloudflare لاستخدام Turnstile؛ فالودجت وواجهة برمجة التطبيقات الخاصة بالتحقق تعملان من أي مكان.
لماذا تستبدل reCAPTCHA
الحجة للتبديل واضحة:
- تجربة مستخدم أفضل. لا ألغاز للزوار الشرعيين، ما يعني نماذج أقل يجري التخلي عنها.
- الخصوصية. صُمّم Turnstile لكي لا يتتبع المستخدمين لأغراض الإعلانات، على عكس البديل المهيمن.
- مجاني وسخي. Turnstile مجاني الاستخدام بحدود مرتفعة بما يكفي للغالبية العظمى من المواقع.
- يعمل في كل مكان. ليس مرتبطًا بوجود DNS الخاص بك على Cloudflare.
- تكامل بسيط. وسم سكربت وودجت وفحص واحد من جانب الخادم.
بالنسبة لمعظم نماذج التواصل والتسجيلات وأنظمة التعليقات، لا يوجد سبب يُذكر للاستمرار في دفع كلفة سهولة الاستخدام لاختبارات CAPTCHA التقليدية.
الخطوة 1: إنشاء ودجت Turnstile
في لوحة تحكم Cloudflare، افتح Turnstile وأضف موقعًا جديدًا. تُدخل اسمًا واسم (أو أسماء) المضيف الذي سيعمل عليه الودجت. تمنحك Cloudflare مفتاحين:
- site key (عام) يوضع في HTML الخاص بك
- secret key (خاص) يبقى على خادمك ويُستخدم للتحقق
تختار أيضًا وضع ودجت:
| الوضع | السلوك |
|---|---|
| Managed | تقرر Cloudflare ما إذا كانت ستعرض مربع اختيار بناءً على المخاطر (الافتراضي الموصى به) |
| Non-interactive | يعمل بصمت دون مربع اختيار |
| Invisible | مخفي تمامًا؛ يعمل بالكامل في الخلفية |
وضع managed هو نقطة البداية المعقولة لمعظم النماذج.
الخطوة 2: إضافة الودجت إلى نموذجك
ضمّن سكربت Turnstile وأدرج عنصر الودجت في نموذجك. استبدل YOUR_SITE_KEY بـ site key من لوحة التحكم:
1<form action="/submit" method="POST">
2 <input type="email" name="email" required />
3
4 <!-- Turnstile widget -->
5 <div class="cf-turnstile" data-sitekey="YOUR_SITE_KEY"></div>
6
7 <button type="submit">Send</button>
8</form>
9
10<script src="https://challenges.cloudflare.com/turnstile/v0/api.js" async defer></script>
عندما يعمل الودجت، يضيف إلى نموذجك حقلًا مخفيًا باسم cf-turnstile-response يحتوي على رمز لمرة واحدة. هذا الرمز هو ما يتحقق منه خادمك في الخطوة التالية.
الخطوة 3: التحقق على الخادم (لا تتخطَّ هذه)
هذه هي الخطوة التي توفّر الحماية فعليًا، وهي التي تحذفها الدروس غالبًا. الودجت وحده لا يثبت شيئًا؛ فبإمكان مهاجم إرسال نموذجك مباشرة. عليك أخذ الرمز من النموذج والتحقق منه على جانب الخادم مقابل نقطة نهاية siteverify الخاصة بـ Cloudflare قبل أن تثق بالإرسال.
أرسل الرمز و secret key الخاص بك إلى https://challenges.cloudflare.com/turnstile/v0/siteverify:
1// Example: Cloudflare Worker or any server-side handler
2async function verifyTurnstile(token, ip, secret) {
3 const formData = new FormData();
4 formData.append("secret", secret);
5 formData.append("response", token);
6 if (ip) formData.append("remoteip", ip);
7
8 const result = await fetch(
9 "https://challenges.cloudflare.com/turnstile/v0/siteverify",
10 { method: "POST", body: formData }
11 );
12
13 const outcome = await result.json();
14 return outcome.success === true;
15}
تابع إجراء النموذج (إرسال البريد، إنشاء الحساب، نشر التعليق) فقط عندما تكون قيمة outcome.success هي true. وإذا كانت false، فارفض الإرسال. لا تكشف أبدًا عن secret key في كود جانب العميل.
تفصيل مفيد للتطوير: توفّر Cloudflare مفاتيح اختبار تنجح دائمًا، أو تحظر دائمًا، أو تفرض دائمًا تحديًا تفاعليًا، حتى تختبر كل مسار قبل الإطلاق.
حالات استخدام شائعة لـ Cloudflare Turnstile
يندمج Turnstile في أي شيء قد يسيء بوت استخدامه:
- نماذج التواصل لإيقاف إرسالات الرسائل المزعجة
- التسجيل والاشتراك لمنع إنشاء حسابات مزيفة (يتلاءم جيدًا مع نظام مستخدمين Cloudflare Pages )
- نماذج تسجيل الدخول لإبطاء هجمات حشو بيانات الاعتماد
- صناديق التعليقات لتقليل الرسائل المزعجة دون إزعاج القراء الحقيقيين
- اشتراكات النشرة البريدية للحفاظ على قائمتك نظيفة
إذا كنت تريد إعداد الحماية من البوتات بشكل صحيح عبر موقعك، بما في ذلك التحقق من جانب الخادم بشكل سليم، فهذا جزء مما أغطيه في خدمة أمان المواقع الخاصة بي.
النقاط الرئيسية
- Turnstile بديل CAPTCHA مجاني ومحترم للخصوصية بلا ألغاز مرئية
- يعمل على أي موقع، وليس فقط المواقع التي يكون DNS الخاص بها على Cloudflare
- التكامل هو ودجت على النموذج بالإضافة إلى استدعاء إلزامي للتحقق من جانب الخادم
- وضع managed هو الافتراضي الأفضل؛ وضعا non-interactive وinvisible موجودان لاحتياجات محددة
- تحقق دائمًا من الرمز على جانب الخادم؛ فالودجت وحده لا يوفر حماية حقيقية
- إنه بديل نظيف وجاهز لـ reCAPTCHA في النماذج والتسجيلات وتسجيلات الدخول والتعليقات
الأسئلة الشائعة
هل Cloudflare Turnstile مجاني؟ نعم. Turnstile مجاني الاستخدام بحدود سخية بما يكفي للغالبية العظمى من المواقع. لا توجد رسوم على الودجت القياسي وتدفق التحقق.
هل أحتاج إلى أن يكون موقعي على Cloudflare لاستخدام Turnstile؟ لا. يعمل Turnstile على أي موقع بغض النظر عن مكان وجود DNS أو الاستضافة الخاصة بك. تحتاج فقط إلى حساب Cloudflare لإنشاء الودجت والحصول على site key و secret key.
هل Turnstile بديل جيد لـ reCAPTCHA؟ لمعظم المواقع، نعم. يقدّم تجربة مستخدم أفضل بلا ألغاز، وهو مصمم لاحترام الخصوصية بدلًا من تتبع المستخدمين لأغراض الإعلانات، وهو مجاني. ويغطي حالات الاستخدام نفسها: نماذج التواصل والتسجيلات وتسجيلات الدخول والتعليقات.
هل يجب أن أتحقق من الرمز على الخادم؟ نعم، دائمًا. لا يحميك الودجت من جانب العميل وحده، لأن البوت يمكنه إرسال النموذج مباشرة. عليك إرسال الرمز إلى نقطة نهاية siteverify الخاصة بـ Cloudflare مع secret key الخاص بك، والوثوق فقط بالإرسالات التي تُعيد success.
ما أوضاع الودجت التي يقدّمها Turnstile؟ ثلاثة: managed (تقرر Cloudflare ما إذا كانت ستعرض مربع اختيار بناءً على المخاطر)، وnon-interactive (صامت، بلا مربع اختيار)، وinvisible (مخفي تمامًا). وضع managed هو الافتراضي الموصى به لمعظم النماذج.
هل يمكنني اختبار Turnstile قبل الإطلاق؟ نعم. توفّر Cloudflare مفاتيح اختبار تنجح دائمًا، أو تحظر دائمًا، أو تفرض دائمًا تحديًا تفاعليًا، حتى تتحقق من كل مسار نتيجة في التطوير قبل نشر مفاتيح حقيقية.
التعليقات