Nimănui nu-i plac CAPTCHA-urile. Să te uiți cu ochii mijiți la semafoare și hidranți ca să dovedești că ești om este o taxă pentru fiecare vizitator onest, iar datele pe care aceste puzzle-uri le trimit înapoi rețelelor de publicitate reprezintă o problemă în sine. Cloudflare Turnstile înlocuiește toate acestea cu o verificare inteligentă, în mare parte invizibilă, care confirmă că un vizitator este om fără puzzle-uri, fără a-l urmări și fără să te coste nimic. În 2026 este cea mai curată modalitate de a proteja un formular de boți.

Acest ghid explică ce este Turnstile, de ce întrece reCAPTCHA pentru majoritatea site-urilor și cum să-l adaugi exact pe orice formular, inclusiv pasul esențial de verificare pe server pe care multe tutoriale îl sar.

Pe scurt

  • Turnstile este alternativa CAPTCHA gratuită și prietenoasă cu confidențialitatea de la Cloudflare, fără puzzle-uri vizuale
  • Este gratuit cu limite generoase și funcționează pe orice site, nu doar pe cele aflate deja pe Cloudflare
  • Configurarea are două părți: un widget pe formularul tău și un apel de verificare pe server pe care nu trebuie să-l sari
  • Oferă modurile de widget managed, non-interactive și invisible pentru a se potrivi diferitelor formulare
  • Este un înlocuitor direct pentru reCAPTCHA pe formulare de contact, înregistrări, autentificări și casete de comentarii

Ce este Cloudflare Turnstile

Cloudflare Turnstile este un înlocuitor de CAPTCHA care verifică dacă vizitatorii sunt oameni folosind o serie de provocări de browser ușoare și neintruzive rulate în fundal. În loc să-i ceară utilizatorului să rezolve un puzzle, analizează semnale din browser și, în majoritatea cazurilor, confirmă vizitatorul în tăcere. Când are nevoie de interacțiune, este de obicei o singură casetă de bifare, niciodată o grilă de imagini.

Esențial, Turnstile este conceput să respecte confidențialitatea. Nu profilează utilizatorii pentru a vinde publicitate și nu depinde de urmărirea unei persoane pe tot webul. Obții protecție împotriva boților fără a-ți transforma vizitatorii într-un produs de date, ceea ce este tot mai important pentru site-urile preocupate de GDPR.

Funcționează și pe orice site. Nu trebuie să-ți treci domeniul prin proxy-ul Cloudflare pentru a folosi Turnstile; widgetul și API-ul de verificare funcționează de oriunde.

De ce să înlocuiești reCAPTCHA

Argumentele pentru schimbare sunt simple:

  • Experiență mai bună pentru utilizator. Niciun puzzle pentru vizitatorii legitimi, ceea ce înseamnă mai puține formulare abandonate.
  • Confidențialitate. Turnstile este conceput să nu urmărească utilizatorii în scop publicitar, spre deosebire de alternativa dominantă.
  • Gratuit și generos. Turnstile este gratuit, cu limite suficient de mari pentru marea majoritate a site-urilor.
  • Funcționează peste tot. Nu este legat de a avea DNS-ul pe Cloudflare.
  • Integrare simplă. Un tag de script, un widget și o singură verificare pe server.

Pentru majoritatea formularelor de contact, înregistrărilor și sistemelor de comentarii, există puține motive să continui să plătești costul de utilizabilitate al CAPTCHA-urilor tradiționale.

Pasul 1: Creează un widget Turnstile

În panoul Cloudflare, deschide Turnstile și adaugă un site nou. Indici un nume și numele de gazdă pe care va rula widgetul. Cloudflare îți oferă două chei:

  • O site key (publică) care intră în HTML-ul tău
  • O secret key (privată) care rămâne pe serverul tău și este folosită pentru verificare

Alegi de asemenea un mod de widget:

ModComportament
ManagedCloudflare decide dacă afișează o casetă de bifare în funcție de risc (implicit recomandat)
Non-interactiveRulează în tăcere fără casetă de bifare
InvisibleComplet ascuns; rulează în întregime în fundal

Modul managed este punctul de pornire rezonabil pentru majoritatea formularelor.

Pasul 2: Adaugă widgetul la formularul tău

Include scriptul Turnstile și plasează elementul widget în formularul tău. Înlocuiește YOUR_SITE_KEY cu site key din panou:

 1<form action="/submit" method="POST">
 2  <input type="email" name="email" required />
 3
 4  <!-- Turnstile widget -->
 5  <div class="cf-turnstile" data-sitekey="YOUR_SITE_KEY"></div>
 6
 7  <button type="submit">Send</button>
 8</form>
 9
10<script src="https://challenges.cloudflare.com/turnstile/v0/api.js" async defer></script>

Când widgetul rulează, adaugă în formularul tău un câmp ascuns numit cf-turnstile-response care conține un token de unică folosință. Acest token este cel pe care serverul tău îl verifică în pasul următor.

Pasul 3: Verifică pe server (nu sări acest pas)

Acesta este pasul care oferă cu adevărat protecție și este cel pe care tutorialele îl omit cel mai des. Widgetul singur nu dovedește nimic; un atacator poate trimite formularul tău direct. Trebuie să iei tokenul din formular și să-l validezi pe server în raport cu endpointul siteverify al Cloudflare înainte de a avea încredere în trimitere.

Trimite tokenul și secret key către https://challenges.cloudflare.com/turnstile/v0/siteverify:

 1// Example: Cloudflare Worker or any server-side handler
 2async function verifyTurnstile(token, ip, secret) {
 3  const formData = new FormData();
 4  formData.append("secret", secret);
 5  formData.append("response", token);
 6  if (ip) formData.append("remoteip", ip);
 7
 8  const result = await fetch(
 9    "https://challenges.cloudflare.com/turnstile/v0/siteverify",
10    { method: "POST", body: formData }
11  );
12
13  const outcome = await result.json();
14  return outcome.success === true;
15}

Continuă cu acțiunea formularului (trimiterea emailului, crearea contului, publicarea comentariului) doar atunci când outcome.success este true. Dacă este false, respinge trimiterea. Nu expune niciodată secret key în codul de pe client.

Un detaliu util pentru dezvoltare: Cloudflare oferă chei de test care trec mereu, blochează mereu sau forțează mereu o provocare interactivă, astfel încât poți testa fiecare cale înainte de a trece în producție.

Cazuri de utilizare frecvente pentru Cloudflare Turnstile

Turnstile se potrivește în orice ar putea abuza un bot:

  • Formulare de contact pentru a opri trimiterile de spam
  • Înscriere și înregistrare pentru a bloca crearea de conturi false (se potrivește bine cu un sistem de utilizatori Cloudflare Pages )
  • Formulare de autentificare pentru a încetini atacurile de credential stuffing
  • Casete de comentarii pentru a reduce spamul fără a-i deranja pe cititorii reali
  • Înscrieri la newsletter pentru a-ți menține lista curată

Dacă vrei să configurezi corect protecția împotriva boților pe site-ul tău, inclusiv verificarea pe server făcută cum trebuie, asta face parte din ceea ce acopăr în serviciul meu de securitate a site-urilor web .

Concluzii principale

  • Turnstile este un înlocuitor de CAPTCHA gratuit și prietenos cu confidențialitatea, fără puzzle-uri vizuale
  • Funcționează pe orice site, nu doar pe cele cu DNS pe Cloudflare
  • Integrarea este un widget pe formular plus un apel obligatoriu de verificare pe server
  • Modul managed este cea mai bună valoare implicită; modurile non-interactive și invisible există pentru nevoi specifice
  • Verifică întotdeauna tokenul pe server; widgetul singur nu oferă nicio protecție reală
  • Este un înlocuitor direct și curat pentru reCAPTCHA pe formulare, înregistrări, autentificări și comentarii

Întrebări frecvente

Este Cloudflare Turnstile gratuit? Da. Turnstile este gratuit, cu limite suficient de generoase pentru marea majoritate a site-urilor web. Nu există nicio taxă pentru widgetul standard și fluxul de verificare.

Trebuie să am site-ul pe Cloudflare pentru a folosi Turnstile? Nu. Turnstile funcționează pe orice site, indiferent unde se află DNS-ul sau găzduirea ta. Ai nevoie doar de un cont Cloudflare pentru a crea widgetul și a obține site key și secret key.

Este Turnstile un înlocuitor bun pentru reCAPTCHA? Pentru majoritatea site-urilor, da. Oferă o experiență mai bună pentru utilizator fără puzzle-uri, este conceput să respecte confidențialitatea în loc să urmărească utilizatorii în scop publicitar și este gratuit. Acoperă aceleași cazuri de utilizare: formulare de contact, înregistrări, autentificări și comentarii.

Trebuie să verific tokenul pe server? Da, mereu. Widgetul de pe client singur nu te protejează, deoarece un bot poate trimite formularul direct. Trebuie să trimiți tokenul către endpointul siteverify al Cloudflare împreună cu secret key și să ai încredere doar în trimiterile care returnează success.

Ce moduri de widget oferă Turnstile? Trei: managed (Cloudflare decide dacă afișează o casetă de bifare în funcție de risc), non-interactive (silențios, fără casetă de bifare) și invisible (complet ascuns). Modul managed este valoarea implicită recomandată pentru majoritatea formularelor.

Pot testa Turnstile înainte de a trece în producție? Da. Cloudflare oferă chei de test care trec mereu, blochează mereu sau forțează mereu o provocare interactivă, astfel încât poți verifica fiecare cale de rezultat în dezvoltare înainte de a implementa chei reale.