Una de las formas en las cuales podemos prevenir el spam en nuestro sitio web es utilizando una pequeña técnica conocida como honeypot (tarro de miel). Esta técnica consiste, principalmente, en colocar una pequeño señuelo con el fin que un posible atacante caiga en él y de esta forma proteger nuestro sistema.

En esta ocasión implementaremos dicha técnica a través de nuestros formularios Flask.

Lo primero que vamos a hacer es crear un nuevo campo a nuestro formulario RegisterForm, esto con la finalidad de prevenir que algún atacante intente generar miles de cuentas válidas en nuestro sitio web.

El campo será de tipo HiddenField, esto quiere decir que el usuario final no podrá visualizar dicho campo en el navegador, por lo tanto se espera que el campo llegue al servidor sin ningún tipo de valor.

from wtforms import Form,  HiddenField

class RegisterForm(Form):
    ...
    honeypot = HiddenField("", [ length_honeypot] )

Agregamos una pequeña validación a nuestro campo. Si el campo contiene algún valor levantamos un error.

def length_honeypot(form, field):
    if len(field.data) > 0:
        raise validators.ValidationError('Solo los humanos pueden completar el registro!')

La función fácilmente puede ser remplzada por una validación (por ejemplo lenght) del modulo validators.

En nuestro template renderizamos el campo. No colocaremos ningún tipo de estilo ya que el campo es hidden.

{{ render_field(form.honeypot) }}

Y listo, prácticamente con estas líneas de código podemos implementar nuestra trampa en un formulario. Si algún tipo de bot quiere generar usuarios inválidos hará la petición enviando valores para todos los campos (No sabrá diferenciar entre un campo oculto y uno visible). Al recibir un valor en el campo honeypot, un valor que no se espera por parte de un usuario normal, la validación será inválida.