Botbeskyttelse

Cloudflare Turnstile

Gratis alternativ til captcha som skiller mennesker fra roboter uten at brukeren må klikke på trafikklys.

Fakta
  • Leverandør: Cloudflare, Inc. (USA)
  • Autentisering: Sitekey (offentlig, i klienten) + secret key (server-side). Tokenet verifiseres mot Cloudflares siteverify-endepunkt før innsendingen behandles.
  • Protokoll: HTTPS. JavaScript-widget i klienten, POST til siteverify server-side.
  • Krever avtale: Nei
  • Dokumentasjon: offisiell docs

Om Cloudflare Turnstile

Turnstile beskytter skjemaer og innloggingssider mot automatisert misbruk. I stedet for bildeoppgaver kjører den en rekke passive sjekker i nettleseren og gir et token som serveren verifiserer. De fleste brukere ser bare en kort «Vellykket»-melding. Tjenesten er gratis, også kommersielt, og krever en Cloudflare-konto — men ikke at nettstedet ligger bak Cloudflare for øvrig. Cloudflare er amerikansk og dermed underlagt CLOUD Act, uansett hvor serverne står. For et skjema som bare sender et token og en IP-adresse er eksponeringen liten, men det er verdt å vite. Cloudflare oppgir at Turnstile ikke setter informasjonskapsler i standard oppsett og ikke brukes til annonseprofilering — i motsetning til enkelte alternativer. systemutvikling.org bruker selv Turnstile på tilbakemeldingsskjemaet. Det er derfor vi kan beskrive de manuelle trinnene presist: vi har gjort dem.

Før du kan integrere — manuelt oppsett

Opprett en Cloudflare-konto, lag en Turnstile-widget, legg inn hostnavn (både med og uten www), og hent sitekey + secret. Gratis.

1 timer manuelt arbeid Ventetid: Ingen.

Dette er tiden før koden i det hele tatt er relevant — søknad, avtale, godkjenning. AI rører den ikke. Det er ofte her et integrasjonsprosjekt faktisk stopper opp, ikke i utviklingen.

Slik integrerer du

Opprett en widget i Cloudflare-dashbordet og velg modus (Managed er standard). Legg inn hostname — både med og uten www, ellers avvises innsendinger fra den ene. Legg widget-scriptet og en

i skjemaet. Server-side: send tokenet (feltet heter cf-turnstile-response) sammen med secret-nøkkelen til challenges.cloudflare.com/turnstile/v0/siteverify, og behandle innsendingen først hvis success er true. To fallgruver: tokenet kan bare brukes én gang — gjenbruk avvises, som er hele poenget. Og har du en streng CSP, må challenges.cloudflare.com inn i både script-src og frame-src, ellers lastes ikke widgeten. Manuelle trinn: opprette konto, lage widget, hente nøkler, legge dem i konfigurasjon. Regn en halvtime til en time første gang.

AI-perspektiv

AI-genererte skjemainnsendinger er billigere enn noensinne, og et kontaktskjema uten beskyttelse fylles nå med søppel i løpet av dager. Samtidig løser moderne modeller bildeoppgaver bedre enn mennesker — så captcha basert på «hva ser du på bildet» er i praksis avleggs. Passive sjekker som Turnstile er et svar på det, men kappløpet er ikke over.

Trenger du hjelp med en Cloudflare Turnstile-integrasjon? DOPS har lang erfaring med integrasjoner mot norske offentlige og private tjenester.

Snakk med DOPS