Niemand mag CAPTCHAs. Auf Ampeln und Hydranten zu starren, um zu beweisen, dass man ein Mensch ist, ist eine Last für jeden ehrlichen Besucher, und die Daten, die diese Rätsel an Werbenetzwerke zurückspielen, sind ein eigenes Problem. Cloudflare Turnstile ersetzt all das durch eine intelligente, weitgehend unsichtbare Prüfung, die bestätigt, dass ein Besucher ein Mensch ist, ohne Rätsel, ohne Tracking und ohne dass es Sie etwas kostet. 2026 ist es der sauberste Weg, ein Formular vor Bots zu schützen.

Dieser Leitfaden erklärt, was Turnstile ist, warum es reCAPTCHA für die meisten Websites schlägt und wie Sie es genau in jedes Formular einbauen, einschließlich des entscheidenden Schritts der serverseitigen Prüfung, den viele Tutorials auslassen.

Kurzfassung

  • Turnstile ist die kostenlose, datenschutzfreundliche CAPTCHA-Alternative von Cloudflare ohne visuelle Rätsel
  • Es ist kostenlos mit großzügigen Limits und funktioniert auf jeder Website, nicht nur auf Seiten, die bereits auf Cloudflare laufen
  • Die Einrichtung besteht aus zwei Teilen: einem Widget in Ihrem Formular und einer serverseitigen Prüfung, die Sie nicht auslassen dürfen
  • Es bietet die Widget-Modi managed, non-interactive und invisible für unterschiedliche Formulare
  • Es ist ein Drop-in-Ersatz für reCAPTCHA bei Kontaktformularen, Anmeldungen, Logins und Kommentarfeldern

Was Cloudflare Turnstile ist

Cloudflare Turnstile ist ein CAPTCHA-Ersatz, der überprüft, ob Besucher Menschen sind, indem er eine Reihe leichtgewichtiger, nicht störender Browser-Challenges im Hintergrund ausführt. Statt den Nutzer ein Rätsel lösen zu lassen, analysiert es Signale aus dem Browser und bestätigt den Besucher in den meisten Fällen still. Wenn doch eine Interaktion nötig ist, ist es in der Regel ein einzelnes Kontrollkästchen, niemals ein Bildraster.

Entscheidend ist, dass Turnstile auf Datenschutz ausgelegt ist. Es erstellt keine Profile von Nutzern, um Werbung zu verkaufen, und es ist nicht darauf angewiesen, eine Person über das Web hinweg zu verfolgen. Sie erhalten Bot-Schutz, ohne Ihre Besucher zu einem Datenprodukt zu machen, was für GDPR-bewusste Websites zunehmend wichtig ist.

Es funktioniert außerdem auf jeder Website. Sie müssen Ihre Domain nicht über Cloudflare leiten, um Turnstile zu nutzen; das Widget und die Verifizierungs-API funktionieren von überall.

Warum reCAPTCHA ersetzen

Die Gründe für den Wechsel liegen auf der Hand:

  • Bessere Nutzererfahrung. Keine Rätsel für legitime Besucher, was weniger abgebrochene Formulare bedeutet.
  • Datenschutz. Turnstile ist so konzipiert, dass es Nutzer nicht für Werbung verfolgt, anders als die vorherrschende Alternative.
  • Kostenlos und großzügig. Turnstile ist kostenlos nutzbar, mit Limits, die für die allermeisten Websites hoch genug sind.
  • Funktioniert überall. Es ist nicht daran gebunden, dass Ihr DNS auf Cloudflare liegt.
  • Einfache Integration. Ein Skript-Tag, ein Widget und eine serverseitige Prüfung.

Für die meisten Kontaktformulare, Anmeldungen und Kommentarsysteme gibt es kaum einen Grund, weiterhin die Bedienbarkeitskosten herkömmlicher CAPTCHAs in Kauf zu nehmen.

Schritt 1: Ein Turnstile-Widget erstellen

Öffnen Sie im Cloudflare-Dashboard Turnstile und fügen Sie eine neue Site hinzu. Sie geben einen Namen und die Hostname(s) an, auf denen das Widget laufen soll. Cloudflare gibt Ihnen zwei Schlüssel:

  • Einen site key (öffentlich), der in Ihr HTML kommt
  • Einen secret key (privat), der auf Ihrem Server bleibt und zur Prüfung verwendet wird

Sie wählen außerdem einen Widget-Modus:

ModusVerhalten
ManagedCloudflare entscheidet anhand des Risikos, ob ein Kontrollkästchen angezeigt wird (empfohlener Standard)
Non-interactiveLäuft still ohne Kontrollkästchen
InvisibleVollständig verborgen; läuft komplett im Hintergrund

Der managed-Modus ist der sinnvolle Ausgangspunkt für die meisten Formulare.

Schritt 2: Das Widget zu Ihrem Formular hinzufügen

Binden Sie das Turnstile-Skript ein und platzieren Sie das Widget-Element in Ihrem Formular. Ersetzen Sie YOUR_SITE_KEY durch den site key aus dem Dashboard:

 1<form action="/submit" method="POST">
 2  <input type="email" name="email" required />
 3
 4  <!-- Turnstile widget -->
 5  <div class="cf-turnstile" data-sitekey="YOUR_SITE_KEY"></div>
 6
 7  <button type="submit">Send</button>
 8</form>
 9
10<script src="https://challenges.cloudflare.com/turnstile/v0/api.js" async defer></script>

Wenn das Widget läuft, fügt es Ihrem Formular ein verstecktes Feld namens cf-turnstile-response hinzu, das ein Einmal-Token enthält. Genau dieses Token überprüft Ihr Server im nächsten Schritt.

Schritt 3: Auf dem Server prüfen (Diesen Schritt nicht überspringen)

Dies ist der Schritt, der tatsächlich Schutz bietet, und er ist derjenige, den Tutorials am häufigsten weglassen. Das Widget allein beweist nichts; ein Angreifer kann Ihr Formular direkt absenden. Sie müssen das Token aus dem Formular nehmen und es serverseitig gegen den siteverify-Endpunkt von Cloudflare prüfen, bevor Sie der Übermittlung vertrauen.

Senden Sie das Token und Ihren secret key an https://challenges.cloudflare.com/turnstile/v0/siteverify:

 1// Example: Cloudflare Worker or any server-side handler
 2async function verifyTurnstile(token, ip, secret) {
 3  const formData = new FormData();
 4  formData.append("secret", secret);
 5  formData.append("response", token);
 6  if (ip) formData.append("remoteip", ip);
 7
 8  const result = await fetch(
 9    "https://challenges.cloudflare.com/turnstile/v0/siteverify",
10    { method: "POST", body: formData }
11  );
12
13  const outcome = await result.json();
14  return outcome.success === true;
15}

Fahren Sie mit der Formularaktion (E-Mail senden, Konto erstellen, Kommentar veröffentlichen) nur dann fort, wenn outcome.success true ist. Ist es false, lehnen Sie die Übermittlung ab. Geben Sie Ihren secret key niemals in clientseitigem Code preis.

Ein praktisches Detail für die Entwicklung: Cloudflare stellt Testschlüssel bereit, die immer bestehen, immer blockieren oder immer eine interaktive Challenge erzwingen, sodass Sie jeden Pfad testen können, bevor Sie live gehen.

Häufige Einsatzfälle für Cloudflare Turnstile

Turnstile fügt sich in alles ein, was ein Bot missbrauchen könnte:

  • Kontaktformulare, um Spam-Übermittlungen zu stoppen
  • Anmeldung und Registrierung, um das Erstellen gefälschter Konten zu blockieren (es passt gut zu einem Cloudflare Pages-Benutzersystem )
  • Login-Formulare, um Credential-Stuffing-Angriffe zu verlangsamen
  • Kommentarfelder, um Spam zu reduzieren, ohne echte Leser zu nerven
  • Newsletter-Anmeldungen, um Ihre Liste sauber zu halten

Wenn Sie den Bot-Schutz auf Ihrer Website korrekt einrichten möchten, einschließlich einer ordentlich umgesetzten serverseitigen Prüfung, ist das Teil dessen, was ich in meinem Website-Sicherheitsservice abdecke.

Wichtigste Erkenntnisse

  • Turnstile ist ein kostenloser, datenschutzfreundlicher CAPTCHA-Ersatz ohne visuelle Rätsel
  • Es funktioniert auf jeder Website, nicht nur auf Seiten mit DNS auf Cloudflare
  • Die Integration besteht aus einem Widget im Formular plus einer obligatorischen serverseitigen Prüfung
  • Der managed-Modus ist der beste Standard; die Modi non-interactive und invisible existieren für besondere Anforderungen
  • Prüfen Sie das Token immer serverseitig; das Widget allein bietet keinen echten Schutz
  • Es ist ein sauberer Drop-in-Ersatz für reCAPTCHA bei Formularen, Anmeldungen, Logins und Kommentaren

Häufig gestellte Fragen

Ist Cloudflare Turnstile kostenlos? Ja. Turnstile ist kostenlos nutzbar, mit Limits, die für die allermeisten Websites großzügig genug sind. Für den Standard-Widget- und Prüfungsablauf fallen keine Gebühren an.

Muss meine Website auf Cloudflare liegen, um Turnstile zu nutzen? Nein. Turnstile funktioniert auf jeder Website, unabhängig davon, wo Ihr DNS oder Hosting liegt. Sie benötigen lediglich ein Cloudflare-Konto, um das Widget zu erstellen und Ihren site key und secret key zu erhalten.

Ist Turnstile ein guter Ersatz für reCAPTCHA? Für die meisten Websites ja. Es bietet eine bessere Nutzererfahrung ohne Rätsel, ist darauf ausgelegt, die Privatsphäre zu respektieren, statt Nutzer für Werbung zu verfolgen, und ist kostenlos. Es deckt dieselben Einsatzfälle ab: Kontaktformulare, Anmeldungen, Logins und Kommentare.

Muss ich das Token auf dem Server prüfen? Ja, immer. Das clientseitige Widget allein schützt Sie nicht, weil ein Bot das Formular direkt absenden kann. Sie müssen das Token mit Ihrem secret key an den siteverify-Endpunkt von Cloudflare senden und nur Übermittlungen vertrauen, die success zurückgeben.

Welche Widget-Modi bietet Turnstile? Drei: managed (Cloudflare entscheidet anhand des Risikos, ob ein Kontrollkästchen angezeigt wird), non-interactive (still, ohne Kontrollkästchen) und invisible (vollständig verborgen). Der managed-Modus ist der empfohlene Standard für die meisten Formulare.

Kann ich Turnstile vor dem Live-Gang testen? Ja. Cloudflare stellt Testschlüssel bereit, die immer bestehen, immer blockieren oder immer eine interaktive Challenge erzwingen, sodass Sie jeden Ergebnispfad in der Entwicklung überprüfen können, bevor Sie echte Schlüssel bereitstellen.