本文档介绍了 reCAPTCHA 和防欺诈策略的推荐实现,以防范严重的自动化威胁(针对 Web 应用的 OWASP 自动化威胁 [OAT])。企业架构师和技术利益相关方可以查看这些信息,以便就其用例的 reCAPTCHA 实现和防欺诈策略做出明智的决策。
本文档针对每种类型的威胁提供了以下信息:
最佳 reCAPTCHA 实现。此实现采用了 reCAPTCHA 的相关功能,可提供卓越的防欺诈保护。
reCAPTCHA 的最小实现。此实现旨在提供最低程度的欺诈防范。
建议的欺诈防范策略。
选择最适合您的应用场景的实现和防欺诈策略。 以下因素可能会影响您选择的实现和防范欺诈策略:
- 组织的反欺诈需求和能力。
- 组织的现有环境。
如需详细了解适用于您的用例的欺诈防范策略,请与我们的销售团队联系。
卡片
盗刷是一种自动化威胁,攻击者会多次尝试进行付款授权,以验证盗取的大量付款卡数据的有效性。
最小实现
在最终用户需要输入信用卡信息的所有网页上安装复选框网站键。 如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(复选框挑战)。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
在最终用户需要输入信用卡信息的所有页面上安装基于得分的网站密钥。在
action参数中指定操作,例如card_entry。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。为您网站上的付款工作流安装 reCAPTCHA。如需了解如何保护付款工作流,请参阅保护付款工作流。
为所有令牌创建评估,并将
expectedAction设置为与您在安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并将转变为欺诈性购买交易或退款的评估标记为
fraudulent。 如需了解如何为评估添加注解,请参阅为评估添加注解。
欺诈防范策略
实现 reCAPTCHA 后,请使用以下防范欺诈策略之一,保护您的网站免遭盗刷:
为您网站上的付款工作流安装 reCAPTCHA。如需了解如何保护付款工作流,请参阅保护付款工作流。
配置卡片管理 API,确保 reCAPTCHA 令牌有效且得分高于阈值。
如果得分未达到或未超过指定的阈值,请勿运行卡片授权或允许最终用户使用该卡。 请尽可能允许交易在购买时继续进行,但稍后取消交易,以免提醒攻击者。
创建评估时,请确保您的评估符合以下条件,以便交易成功完成:
- 所有经过评估的令牌均有效,且得分高于指定的阈值。
expectedAction的值与您在网页上安装基于得分的网站密钥时指定的action值一致。 如需了解如何验证操作,请参阅验证操作。
如果交易不符合这些条件,请勿运行卡片授权或允许最终用户使用该卡。 请尽可能允许交易在购买时继续进行,但稍后取消交易,以免提醒攻击者。
破解卡
卡破解是一种自动化威胁,攻击者会尝试不同的值,找出被盗付款卡数据中缺失的开始日期、到期日期和安全码值。
最小实现
在最终用户需要输入付款详细信息的所有页面(包括结账和添加付款方式功能)上安装复选框网站键。 如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(复选框挑战)。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
在最终用户需要输入付款详细信息的所有页面上安装基于得分的网站密钥。在
action参数中指定操作,例如checkout或add_pmtmethod。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。为您网站上的付款工作流安装 reCAPTCHA。如需了解如何保护付款工作流,请参阅保护付款工作流。
为所有令牌创建评估,并将
expectedAction设置为与您在安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并将转变为欺诈性购买交易或退款的评估标记为
fraudulent。 如需了解如何为评估添加注解,请参阅为评估添加注解。
欺诈防范策略
实现 reCAPTCHA 后,请使用以下防范欺诈策略之一,保护您的网站免遭盗刷:
为您网站上的付款工作流安装 reCAPTCHA。如需了解如何保护付款工作流,请参阅保护付款工作流。
实现回答模型并创建评估:
创建并实现一个根据得分调整风险的响应模型。
以下示例展示了一个示例响应模型:
- 对于低到中等得分阈值(0.0-0.5),请使用基于上下文的风险管理,例如限制尝试次数,以及屏蔽超过指定金额的购买交易。
- 对于最高得分阈值(大于 0.5),允许最终用户无需任何质询即可继续操作。
创建评估时,请确保
expectedAction的值与您在网页上安装基于得分的网站密钥时指定的action的值一致。 如果不匹配,请勿运行卡片授权或允许最终用户使用该卡。 请尽可能允许交易在购买时继续进行,但稍后取消交易,以免提醒攻击者。
凭据破解
凭据破解是一种自动化威胁,攻击者会尝试不同的用户名和密码值,以识别有效的登录凭据。
最小实现
在最终用户需要输入凭据的所有页面(包括登录和忘记密码功能)上安装复选框网站键。 如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(复选框挑战)。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
-
在最终用户需要输入凭据的所有网页上安装基于得分的网站密钥。在
action参数中指定操作,例如login或authenticate。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。 - 建议:针对所有身份验证尝试实施 reCAPTCHA 密码泄露检测。 如需了解如何使用密码泄露检测功能,请参阅检测密码泄露和凭据盗用。
- 可选:如需屏蔽大量且 reCAPTCHA 得分较低的互动,请将 reCAPTCHA 与 Web 应用防火墙 (WAF) 集成。 例如,您可以使用 reCAPTCHA for WAF 与 Google Cloud Armor 集成。
- 实现 reCAPTCHA 账号防护工具,以跟踪各次登录的最终用户行为,并接收可能表明账号盗用行为的其他信号。 如需了解如何使用 reCAPTCHA 账号卫士,请参阅检测和防范与账号相关的欺诈活动。
-
为所有令牌创建评估,并将
expectedAction设置为与您在安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。 - 保存所有评估 ID,并为疑似欺诈的评估添加注释,例如账号盗用 (ATO) 或任何其他欺诈活动。 如需了解如何为评估添加注解,请参阅为评估添加注解。
欺诈防范策略
实现 reCAPTCHA 后,请使用以下欺诈防范策略来保护您的网站免受凭据破解的侵害:
-
创建并实现一个根据得分调整风险的响应模型。
以下示例展示了一个示例响应模型:
- 对于低到中等分数阈值(0.0-0.5),通过电子邮件或短信向最终用户发起多重身份验证。
- 对于最高得分阈值(大于 0.5),允许最终用户无需任何质询即可继续操作。
-
针对成功完成身份验证但收到 reCAPTCHA 密码泄露检测的
credentialsLeaked: true响应的最终用户,结束或中断会话,并向最终用户发送电子邮件以更改其密码。 -
创建评估时,请确保
expectedAction的值与您在网页上安装基于得分的网站密钥时指定的action的值一致。 如果不匹配,则不允许进行身份验证。
凭据填充
凭据填充是一种自动化威胁,攻击者会通过大量尝试登录来验证被盗的用户名/密码对的有效性。
最小实现
在最终用户需要输入凭据的所有页面(包括登录和忘记密码功能)上安装复选框网站键。 如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(复选框挑战)。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
-
在最终用户需要输入凭据的所有网页上安装基于得分的网站密钥。在
action参数中指定操作,例如login或authenticate。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。 - 建议:针对所有身份验证尝试实施 reCAPTCHA 密码泄露检测。 如需了解如何使用密码泄露检测功能,请参阅检测密码泄露和凭据盗用。
- 实现 reCAPTCHA 账号防护工具,以跟踪各次登录的最终用户行为,并接收可能表明账号盗用行为的其他信号。 如需了解如何使用 reCAPTCHA 账号卫士,请参阅检测和防范与账号相关的欺诈活动。
可选:如需屏蔽大量且 reCAPTCHA 得分较低的互动,请将 reCAPTCHA 与 Web 应用防火墙 (WAF) 集成。 例如,您可以使用 reCAPTCHA for WAF 与 Google Cloud Armor 集成。
为所有令牌创建评估,并将
expectedAction设置为与您在安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并将转变为欺诈性购买交易或退款的评估标记为
fraudulent。 如需了解如何为评估添加注解,请参阅为评估添加注解。
欺诈防范策略
实现 reCAPTCHA 后,请使用以下欺诈防范策略来保护您的网站免遭撞库攻击:
-
创建并实现根据得分调整风险的响应模型。
以下示例展示了一个示例响应模型:
- 对于 reCAPTCHA 得分最低阈值 (0.0),请告知最终用户其密码不正确。
- 对于中间得分阈值(0.1-0.5),通过电子邮件或短信向最终用户发起多重身份验证。
- 对于最高得分阈值(大于 0.5),允许最终用户无需任何质询即可继续操作。
-
针对成功完成身份验证但收到 reCAPTCHA 密码泄露检测的
credentialsLeaked: true响应的最终用户,结束或中断会话,并向最终用户发送电子邮件以更改其密码。 -
创建评估时,请确保
expectedAction的值与您在网页上安装基于得分的网站密钥时指定的action的值一致。 如果不匹配,则不允许进行身份验证。 - 在评估中,如果
accountDefenderAssessment=PROFILE_MATCH,则允许最终用户无需任何验证即可继续操作。
提现
提现是一种自动化威胁,攻击者会利用之前验证过的被盗支付卡获取货币或高价值物品。
最小实现
- 在所有可以结账的网页上安装基于得分的网站密钥。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。
- 为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
- 在最终用户输入礼品卡信息的所有页面上安装基于得分的网站密钥。指定操作,例如
add_gift_card。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。 为所有令牌创建评估,并将
expectedAction设置为与您在安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并为欺诈交易添加注释。
欺诈防范策略
实现 reCAPTCHA 后,请使用以下欺诈防范策略来保护您的网站免遭套现:
为您网站上的付款工作流安装 reCAPTCHA。如需了解如何保护付款工作流,请参阅保护付款工作流。
实现回答模型并创建评估:
-
创建并实现一个根据得分调整风险的响应模型。
以下示例展示了一个示例响应模型:
- 对于低到中等得分阈值(0.0-0.5),请使用基于上下文的风险管理,例如限制尝试次数,以及屏蔽超过指定金额的购买交易。
- 对于最高得分阈值(大于 0.5),允许最终用户无需任何质询即可继续操作。
-
创建评估时,请确保
expectedAction的值与您在网页上安装基于得分的网站密钥时指定的action的值一致。 如果二者不符,则不允许进行身份验证。 请尽可能允许交易在购买时继续进行,但稍后取消交易,以免提醒攻击者。
-
账号创建
账号创建是一种自动化威胁,攻击者会创建多个账号以供日后滥用。
最小实现
在最终用户需要输入凭据的所有页面(包括登录和忘记密码功能)上安装复选框网站键。 如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(复选框挑战)。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
- 在创建账号的所有网页上安装基于得分的网站密钥。在
action参数中指定操作,例如register。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。 - 建议:针对所有身份验证尝试实施 reCAPTCHA 密码泄露检测。 如需了解如何使用密码泄露检测功能,请参阅检测密码泄露和凭据盗用。
- 实现 reCAPTCHA 账号卫士,以接收更多表明创建了虚假账号的信号。 如需了解如何使用 reCAPTCHA 账号卫士,请参阅检测和防范与账号相关的欺诈活动。
可选:如需屏蔽大量且 reCAPTCHA 得分较低的互动,请将 reCAPTCHA 与 Web 应用防火墙 (WAF) 集成。 例如,您可以使用 reCAPTCHA for WAF 与 Google Cloud Armor 集成。
为所有令牌创建评估,并将
expectedAction设置为与您在安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并为欺诈交易添加注释。
欺诈防范策略
实现 reCAPTCHA 后,请使用以下欺诈防范策略来保护您的网站免遭账号创建攻击:
-
创建并实现一个根据得分调整风险的响应模型。
以下示例展示了一个示例响应模型:
- 对于 reCAPTCHA 最低分数阈值 (0.0),请限制账号的操作,直到该账号接受进一步的欺诈检查。
- 对于中间得分阈值(0.1-0.5),通过电子邮件或短信向最终用户发起多重身份验证。
- 对于最高得分阈值(大于 0.5),允许最终用户无需任何质询即可继续操作。
- 对于成功完成身份验证但收到 reCAPTCHA 密码泄露检测的
credentialsLeaked: true响应的最终用户,请结束或中断其会话,并提示用户选择新密码。 -
创建评估时,请确保
expectedAction的值与您在网页上安装基于得分的网站密钥时指定的action的值一致。 如果不匹配,请禁止注册账号或创建账号。 - 在评估过程中,如果
accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION,请限制账号的访问权限,直到可以执行进一步验证为止。
欺诈性账号和地址变更
攻击者可能会在进行欺诈活动或账号盗用时尝试更改账号详细信息,包括电子邮件地址、手机号码或邮寄地址。
最小实现
在最终用户需要输入凭据的所有页面(包括登录和忘记密码功能)上安装复选框网站键。 如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(复选框挑战)。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
在创建账号的所有网页上安装基于得分的网站密钥。在
action参数中指定操作,例如change_telephone或change_physicalmail。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。为所有令牌创建评估,并将
expectedAction设置为与您在安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。实现 reCAPTCHA 账号防护工具,以跟踪各次登录的最终用户行为,并接收可能表明账号盗用行为的其他信号。 如需了解如何使用 reCAPTCHA 账号卫士,请参阅检测和防范与账号相关的欺诈活动。
保存所有评估 ID,并为欺诈交易添加注释。
欺诈防范策略
实现 reCAPTCHA 后,请采用以下欺诈防范策略,保护您的网站免受欺诈性账号和地址更改的影响:
创建并实现一个根据得分调整风险的响应模型。
以下示例展示了一个示例响应模型:
- 对于低到中等分数阈值(0.0-0.5),通过电子邮件或短信向最终用户发起多重身份验证。
- 对于最高得分阈值(大于 0.5),允许最终用户无需任何质询即可继续操作。
创建评估时,请确保
expectedAction的值与您在网页上安装基于得分的网站密钥时指定的action的值一致。 如果不匹配,请禁止更改账号。在评估过程中,如果
accountDefenderAssessment没有PROFILE_MATCH标签,请通过电子邮件或短信向最终用户发起多重身份验证。
令牌破解
令牌破解是一种自动化威胁,攻击者会对优惠券编号、代金券代码、折扣令牌进行大量枚举。
最小实现
在最终用户需要输入礼品卡信息的所有页面上安装复选框网站密钥。 如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(复选框挑战)。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
在最终用户需要输入礼品卡信息的所有页面上安装基于得分的网站密钥。指定操作,例如
gift_card_entry。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。可选:如需屏蔽大量且 reCAPTCHA 得分较低的互动,请将 reCAPTCHA 与 Web 应用防火墙 (WAF) 集成。 例如,您可以使用 reCAPTCHA for WAF 与 Google Cloud Armor 集成。
为所有令牌创建评估,并将
expectedAction设置为与您在安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并为转变为欺诈性礼品卡或优惠券的评估添加注释。
欺诈防范策略
实现 reCAPTCHA 后,请使用以下某种欺诈防范策略来保护您的网站免受令牌破解的侵害:
配置卡片管理 API,确保 reCAPTCHA 令牌有效且得分高于阈值。
如果得分未达到或未超过指定阈值,请勿运行礼品卡或信用卡授权,也不得允许最终用户使用优惠券、礼品卡。 请尽可能允许交易在购买时继续进行,但稍后取消交易,以免提醒攻击者。
创建评估时,请确保您的评估符合以下条件,以便交易成功完成:
- 所有经过评估的令牌均有效,且得分高于指定的阈值。
expectedAction的值与您在网页上安装基于得分的网站密钥时指定的action值一致。 如需了解如何验证操作,请参阅验证操作。
如果交易不符合这些条件,请勿运行礼品卡或信用卡授权,也不得允许最终用户使用优惠券或礼品卡。 请尽可能允许交易在购买时继续进行,但稍后取消交易,以免提醒攻击者。
剥头
囤货是一种自动化威胁,攻击者会通过不公平的方式获取限量供应的优质商品或服务。
最小实现
- 在最终用户需要输入礼品卡信息的所有页面上安装基于得分的网站密钥。在
action参数中指定操作,例如add_to_cart。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。 -
为所有令牌创建评估,并将
expectedAction设置为与您在安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。
最佳实现
在最终用户需要输入礼品卡信息的所有页面上安装基于得分的网站密钥。在
action参数中指定操作,例如add_to_cart。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。可选:如需屏蔽大量且 reCAPTCHA 得分较低的互动,请将 reCAPTCHA 与 Web 应用防火墙 (WAF) 集成。 例如,您可以使用 reCAPTCHA for WAF 与 Google Cloud Armor 集成。
为所有令牌创建评估,并将
expectedAction设置为与您在安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并为欺诈交易添加注释。
欺诈防范策略
实现 reCAPTCHA 后,请使用以下欺诈防范策略来保护您的网站免遭黄牛党攻击:
创建并实现根据得分调整风险的响应模型。
以下示例展示了一个示例响应模型:
- 对于低到中等得分阈值(0.0-0.5),请使用基于上下文的风险管理,例如限制尝试次数,以及屏蔽超过指定金额的购买交易。
- 对于最高得分阈值(大于 0.5),允许最终用户无需任何质询即可继续操作。
创建评估时,请确保
expectedAction的值与您在网页上安装基于得分的网站密钥时指定的action的值一致。 如果不匹配,请勿运行礼品卡授权。
Skewing
偏差是一种自动化威胁,攻击者会通过重复点击链接、发出网页请求或提交表单来更改某些指标。
最小实现
- 在可能出现指标偏差的所有网页上安装基于得分的网站密钥。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。
- 为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
在可能出现指标偏差的所有网页上安装基于得分的网站密钥。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。
可选:如需屏蔽大量且 reCAPTCHA 得分较低的互动,请将 reCAPTCHA 与 Web 应用防火墙 (WAF) 集成。 例如,您可以使用 reCAPTCHA for WAF 与 Google Cloud Armor 集成。
为所有令牌创建评估,并将
expectedAction设置为与您在安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并为欺诈交易添加注释。
欺诈防范策略
实现 reCAPTCHA 后,请使用以下欺诈防范策略来保护您的网站免受偏差影响:
创建并实现一个根据得分调整风险的响应模型。
以下示例展示了一个示例响应模型:
- 对于低到中等的得分阈值(0.0-0.5),请使用基于情境的风险管理,例如跟踪用户点击广告的次数或用户重新加载网页的次数。使用这些数据来确定是否统计该指标。
- 对于最高得分阈值(大于 0.5),允许最终用户无需任何质询即可继续操作。
抓取
抓取是一种自动化威胁,攻击者会以自动化方式收集网站数据或工件。
最小实现
- 在包含重要信息的所有网页以及常见的最终用户互动网页上安装基于得分的网站密钥。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。
- 为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
在包含重要信息的所有网页以及常见的最终用户互动网页上安装基于得分的网站密钥。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。
可选:如需屏蔽大量且 reCAPTCHA 得分较低的互动,请将 reCAPTCHA 与 Web 应用防火墙 (WAF) 集成。 例如,您可以使用 reCAPTCHA for WAF 与 Google Cloud Armor 集成。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
保存所有评估 ID,并为欺诈交易添加注释。
欺诈防范策略
实现 reCAPTCHA 后,请使用以下防范欺诈策略来保护您的网站免遭抓取:
- 通过将 reCAPTCHA 与 Web 应用防火墙 (WAF) 集成,实现屏蔽大量且 reCAPTCHA 得分较低的互动。例如,您可以使用 reCAPTCHA for WAF 与 Google Cloud Armor 集成
- 如果抓取涉及 API,请使用 Apigee Management API 进行进一步缓解。
人机识别系统破解
CAPTCHA 破解是一种自动化威胁,攻击者会使用自动化技术来尝试分析和确定视觉和/或听觉 CAPTCHA 测试和相关拼图的答案。
最小实现
在涉及最终用户输入、账号创建、付款信息或可能存在欺诈风险的最终用户互动的所有页面上安装基于评分的网站键。在
action参数中指定描述性操作。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。为所有令牌创建评估,并将
expectedAction设置为与您在安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。
最佳实现
- 在涉及最终用户输入、账号创建、付款信息或可能存在欺诈风险的最终用户互动的所有页面上安装基于评分的网站键。在
action参数中指定描述性操作。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。 可选:如需屏蔽大量且 reCAPTCHA 得分较低的互动,请将 reCAPTCHA 与 Web 应用防火墙 (WAF) 集成。 例如,您可以使用 reCAPTCHA for WAF 与 Google Cloud Armor 集成。
为所有令牌创建评估,并将
expectedAction设置为与您在安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并将转变为欺诈性购买交易或退款的评估标记为
fraudulent。 如需了解如何为评估添加注解,请参阅为评估添加注解。
欺诈防范策略
实现 reCAPTCHA 后,请使用以下某种欺诈防范策略来保护您的网站免受人机识别系统破解的侵害:
实现回答模型并创建评估:
-
创建并实现一个根据得分调整风险的响应模型。
以下示例展示了一个示例响应模型:
- 对于低到中等分数阈值(0.0-0.5),通过电子邮件或短信向最终用户发起多重身份验证。
- 对于最高得分阈值(大于 0.5),允许最终用户无需任何质询即可继续操作。
-
创建评估时,请确保
expectedAction的值与您在网页上安装基于得分的网站密钥时指定的action的值一致。 如果二者不符,则不允许进行身份验证。
-
如果最终用户使用的网络浏览器已停用 JavaScript,请执行以下操作:
- 屏蔽这些最终用户。
- 通知最终用户,您的网站需要启用 JavaScript 才能继续。
确保实现
grecaptcha.enterprise.ready承诺,以防止最终用户的浏览器阻止加载 Google 的脚本。这表示 reCAPTCHA 已完全加载且未遇到错误。对于仅限网页的 API,我们建议将 reCAPTCHA 令牌或 reCAPTCHA 评估结果传递给后端 API,然后仅在 reCAPTCHA 令牌有效且得分达到阈值值时允许执行 API 操作。这可确保最终用户在使用 API 时必须先访问网站。