Пользовательское поле выпадающего списка содержит неотмечаемое значение

AquaL1te · 09.Май.2026 10:30:18

На моём форуме https://tzm.one есть это пользовательское поле при регистрации пользователей.

Но, похоже, спам-боты создают учётные записи со значением в этом выпадающем списке, которое невозможно выбрать. Это почти превращает поле в ловушку для спамеров (honeypot), позволяя определить, какая учётная запись создана не человеком. Однако это может также быть проблемой безопасности?

Lilly · 09.Май.2026 13:46:31

Это происходит потому, что боты не используют форму регистрации на фронтенде, где есть валидаторы. Такие спам-боты отправляют автоматизированные POST-запросы к конечной точке API регистрации. Также, когда поля необязательные, валидация на бэкенде иногда недостаточно строгая, и значение из payload сохраняется в базу данных.

Я не уверен, в чём заключается основное исправление, но вам, вероятно, также понадобятся дополнительные настройки или инструменты для борьбы со спамом. (Я использую AI-спам-бота на своём публичном форуме, и он работает отлично; у меня тоже есть необязательные поля при регистрации.)

Вы можете найти всех пользователей на своём форуме с помощью Data Explorer — думаю, это сработает, хотя я не тестировал (предполагая, что пользовательское поле называется user_field_1):

SELECT user_id, value 
FROM user_custom_fields 
WHERE name = 'user_field_1' 
AND value NOT IN ('Bro', 'Sis', '')

Если вы недавно изменили это поле с текстового ввода на выпадающий список, это также может объяснить наличие некоторых ботовых аккаунтов с некорректными значениями в этом поле.

ted · 14.Май.2026 02:09:04

@Lilly прав. Здесь недостаточно недоверия на бэкенде.

Поскольку этот вопрос возник, я решил проверить, влияет ли это также на страницу профиля, и нет. Мы правильно экранируем значения, когда пользователи обновляют свой профиль. Это сделало относительно простым копирование этой логики экранирования также на конечную точку регистрации. PR здесь:

github.com/discourse/discourse

FIX: Don't allow arbitrary values for user field enums on signup (#40018)

main ← Drenmi:fix/invalid-user-field-values-on-signup

opened 02:03AM - 14 May 26 UTC

Drenmi

+21 -3

## What is the problem? When signing up and the sign-up form contains custom …user fields of type "dropdown" or "multi-select", the client can send any value and it will be stored in the back-end. ## How does this fix it? We are correctly guarding against this in the profile update endpoint, so this PR just lifts the protection we have there to the sign-up endpoint as well. **Note:** The _real_ fix is probably to shift the validation logic away from the controller and into the user fields module.

Я не думаю, что технически это так. Да, пользователи могут вводить произвольные значения, но перед отображением в любом месте всё равно применяется экранирование (так что вектора XSS нет). И ограничение длины уже правильно применялось в конечной точке регистрации (так что вектора DoS нет).

Тема		Ответов	Просм.
Not respecting editable after sign up Bug user-custom-fields	3	81	15.04.2025
Custom user fields dropdown have no "please choose" option Bug	3	1227	09.03.2016
Honeypot Fields for Bot Prevention on Signup? General	3	173	10.02.2025
User Fields - weird signup behavior Bug user-custom-fields , stable	16	254	03.10.2024
Creating and configuring custom user fields Site Management user-custom-fields , how-to , users	25	17560	08.04.2026

Пользовательское поле выпадающего списка содержит неотмечаемое значение

Связанные темы