Senki sem szereti a CAPTCHA-kat. Közlekedési lámpák és tűzcsapok keresgélése azért, hogy bebizonyítsd, ember vagy, adó minden becsületes látogató számára, és az adatok, amelyeket ezek a feladványok visszacsatolnak a hirdetési hálózatoknak, külön problémát jelentenek. A Cloudflare Turnstile mindezt egy okos, többnyire láthatatlan ellenőrzéssel váltja ki, amely megerősíti, hogy a látogató ember, feladványok nélkül, követés nélkül, és anélkül, hogy bármibe is kerülne. 2026-ban ez a legtisztább módja egy űrlap botoktól való védelmének.

Ez az útmutató végigvezet azon, hogy mi a Turnstile, miért veri a reCAPTCHA-t a legtöbb webhely esetében, és pontosan hogyan adhatod hozzá bármely űrlaphoz, beleértve a kulcsfontosságú szerveroldali ellenőrzési lépést is, amelyet sok útmutató kihagy.

Röviden

  • A Turnstile a Cloudflare ingyenes, adatvédelembarát CAPTCHA-alternatívája, vizuális feladványok nélkül
  • Ingyenes, nagyvonalú korlátokkal, és bármely webhelyen működik, nem csak a már Cloudflare-en futókon
  • A beállítás két részből áll: egy widget az űrlapodon és egy szerveroldali ellenőrzési hívás, amelyet nem szabad kihagyni
  • Managed, non-interactive és invisible widgetmódokat kínál a különböző űrlapokhoz
  • Készen beilleszthető helyettesítője a reCAPTCHA-nak kapcsolati űrlapokon, regisztrációkon, bejelentkezéseken és hozzászólásmezőkön

Mi a Cloudflare Turnstile

A Cloudflare Turnstile egy CAPTCHA-helyettesítő, amely egy sor könnyű, nem tolakodó, a háttérben futó böngészős kihívással ellenőrzi, hogy a látogatók emberek-e. Ahelyett, hogy feladvány megoldására kérné a felhasználót, a böngészőből származó jeleket elemzi, és a legtöbb esetben csendben megerősíti a látogatót. Amikor mégis szükség van interakcióra, az általában egyetlen jelölőnégyzet, sosem egy képrács.

A lényeg, hogy a Turnstile az adatvédelem tiszteletben tartására épül. Nem profiloz felhasználókat hirdetések eladása céljából, és nem támaszkodik arra, hogy a weben keresztül kövessen egy személyt. Botvédelmet kapsz anélkül, hogy a látogatóidat adattermékké tennéd, ami a GDPR-tudatos webhelyek számára egyre fontosabb.

Bármely webhelyen is működik. Nem kell a domainedet a Cloudflare-en keresztül proxyzni a Turnstile használatához; a widget és az ellenőrző API bárhonnan működik.

Miért érdemes lecserélni a reCAPTCHA-t

A váltás mellett szóló érvek egyértelműek:

  • Jobb felhasználói élmény. Nincsenek feladványok a jogos látogatóknak, ami kevesebb félbehagyott űrlapot jelent.
  • Adatvédelem. A Turnstile-t úgy tervezték, hogy ne kövesse a felhasználókat hirdetési célból, szemben a domináns alternatívával.
  • Ingyenes és nagyvonalú. A Turnstile ingyenesen használható, olyan korlátokkal, amelyek a webhelyek túlnyomó többsége számára elég magasak.
  • Mindenhol működik. Nincs ahhoz kötve, hogy a DNS-ed a Cloudflare-en legyen.
  • Egyszerű integráció. Egy szkriptcímke, egy widget és egy szerveroldali ellenőrzés.

A legtöbb kapcsolati űrlap, regisztráció és hozzászólásrendszer esetében alig van okod tovább fizetni a hagyományos CAPTCHA-k használhatósági árát.

1. lépés: Turnstile-widget létrehozása

A Cloudflare irányítópultján nyisd meg a Turnstile-t, és adj hozzá egy új webhelyet. Megadsz egy nevet és a gazdagépnevet (vagy -neveket), amelyeken a widget futni fog. A Cloudflare két kulcsot ad neked:

  • Egy site key-t (nyilvános), amely a HTML-edbe kerül
  • Egy secret key-t (privát), amely a szervereden marad, és az ellenőrzéshez használatos

Választasz egy widgetmódot is:

MódViselkedés
ManagedA Cloudflare a kockázat alapján dönti el, hogy jelenjen-e meg jelölőnégyzet (ajánlott alapértelmezés)
Non-interactiveCsendben fut, jelölőnégyzet nélkül
InvisibleTeljesen rejtett; teljes egészében a háttérben fut

A managed mód az ésszerű kiindulópont a legtöbb űrlaphoz.

2. lépés: A widget hozzáadása az űrlapodhoz

Illeszd be a Turnstile-szkriptet, és helyezd el a widgetelemet az űrlapodban. Cseréld le a YOUR_SITE_KEY értéket az irányítópultról származó site key-re:

 1<form action="/submit" method="POST">
 2  <input type="email" name="email" required />
 3
 4  <!-- Turnstile widget -->
 5  <div class="cf-turnstile" data-sitekey="YOUR_SITE_KEY"></div>
 6
 7  <button type="submit">Send</button>
 8</form>
 9
10<script src="https://challenges.cloudflare.com/turnstile/v0/api.js" async defer></script>

Amikor a widget fut, egy cf-turnstile-response nevű rejtett mezőt ad az űrlapodhoz, amely egy egyszer használatos tokent tartalmaz. Ezt a tokent ellenőrzi a szervered a következő lépésben.

3. lépés: Ellenőrzés a szerveren (ezt ne hagyd ki)

Ez az a lépés, amely valóban védelmet nyújt, és ez az, amelyet az útmutatók a leggyakrabban kihagynak. A widget önmagában semmit sem bizonyít; egy támadó közvetlenül elküldheti az űrlapodat. A tokent ki kell venned az űrlapból, és szerveroldalon ellenőrizned kell a Cloudflare siteverify végpontjával szemben, mielőtt megbíznál a beküldésben.

Küldd el a tokent és a secret key-edet a https://challenges.cloudflare.com/turnstile/v0/siteverify címre:

 1// Example: Cloudflare Worker or any server-side handler
 2async function verifyTurnstile(token, ip, secret) {
 3  const formData = new FormData();
 4  formData.append("secret", secret);
 5  formData.append("response", token);
 6  if (ip) formData.append("remoteip", ip);
 7
 8  const result = await fetch(
 9    "https://challenges.cloudflare.com/turnstile/v0/siteverify",
10    { method: "POST", body: formData }
11  );
12
13  const outcome = await result.json();
14  return outcome.success === true;
15}

Csak akkor folytasd az űrlapműveletet (e-mail küldése, fiók létrehozása, hozzászólás közzététele), ha az outcome.success értéke true. Ha false, utasítsd el a beküldést. Sose tedd közzé a secret key-edet kliensoldali kódban.

Egy hasznos részlet a fejlesztéshez: a Cloudflare biztosít tesztkulcsokat , amelyek mindig átengednek, mindig blokkolnak vagy mindig interaktív kihívást kényszerítenek ki, így minden útvonalat tesztelhetsz az élesítés előtt.

Gyakori Cloudflare Turnstile felhasználási esetek

A Turnstile bármibe beilleszthető, amivel egy bot visszaélhet:

  • Kapcsolati űrlapok a spamküldések megállítására
  • Regisztráció és feliratkozás a hamis fiókok létrehozásának blokkolására (jól illik egy Cloudflare Pages felhasználói rendszerhez )
  • Bejelentkezési űrlapok a credential-stuffing támadások lassítására
  • Hozzászólásmezők a spam csökkentésére anélkül, hogy bosszantanád a valódi olvasókat
  • Hírlevél-feliratkozások a listád tisztán tartására

Ha a botvédelmet helyesen szeretnéd beállítani a webhelyeden, beleértve a megfelelően elvégzett szerveroldali ellenőrzést is, ez része annak, amit a webhelybiztonsági szolgáltatásomban lefedek.

Legfontosabb tudnivalók

  • A Turnstile egy ingyenes, adatvédelembarát CAPTCHA-helyettesítő, vizuális feladványok nélkül
  • Bármely webhelyen működik, nem csak azokon, amelyek DNS-e a Cloudflare-en van
  • Az integráció egy widgetből áll az űrlapon, plusz egy kötelező szerveroldali ellenőrzési hívásból
  • A managed mód a legjobb alapértelmezés; a non-interactive és invisible módok specifikus igényekhez léteznek
  • Mindig ellenőrizd a tokent szerveroldalon; a widget önmagában nem nyújt valódi védelmet
  • Tiszta, készen beilleszthető helyettesítője a reCAPTCHA-nak űrlapokon, regisztrációkon, bejelentkezéseken és hozzászólásokon

Gyakran ismételt kérdések

Ingyenes a Cloudflare Turnstile? Igen. A Turnstile ingyenesen használható, olyan korlátokkal, amelyek a webhelyek túlnyomó többsége számára elég nagyvonalúak. A szabványos widget- és ellenőrzési folyamatért nincs díj.

Szükséges, hogy a webhelyem a Cloudflare-en legyen a Turnstile használatához? Nem. A Turnstile bármely webhelyen működik, függetlenül attól, hol van a DNS-ed vagy a tárhelyed. Csak egy Cloudflare-fiókra van szükséged a widget létrehozásához, valamint a site key és secret key megszerzéséhez.

Jó helyettesítője a Turnstile a reCAPTCHA-nak? A legtöbb webhely esetében igen. Jobb felhasználói élményt kínál feladványok nélkül, az adatvédelem tiszteletben tartására tervezték, nem pedig a felhasználók hirdetési célú követésére, és ingyenes. Ugyanazokat a felhasználási eseteket fedi le: kapcsolati űrlapok, regisztrációk, bejelentkezések és hozzászólások.

Kötelező a tokent a szerveren ellenőrizni? Igen, mindig. A kliensoldali widget önmagában nem véd meg, mert egy bot közvetlenül elküldheti az űrlapot. A tokent a secret key-eddel együtt el kell küldened a Cloudflare siteverify végpontjára, és csak azokban a beküldésekben szabad megbízni, amelyek success értéket adnak vissza.

Milyen widgetmódokat kínál a Turnstile? Hármat: managed (a Cloudflare a kockázat alapján dönti el, hogy jelenjen-e meg jelölőnégyzet), non-interactive (csendes, jelölőnégyzet nélkül) és invisible (teljesen rejtett). A managed mód az ajánlott alapértelmezés a legtöbb űrlaphoz.

Tesztelhetem a Turnstile-t az élesítés előtt? Igen. A Cloudflare biztosít tesztkulcsokat, amelyek mindig átengednek, mindig blokkolnak vagy mindig interaktív kihívást kényszerítenek ki, így minden eredményútvonalat ellenőrizhetsz a fejlesztés során, mielőtt valódi kulcsokat telepítenél.