瞭解使用 reCAPTCHA 時可能遇到的常見問題或疑問。
導入作業
我可以在全球使用 reCAPTCHA 嗎?
可以,當使用者無法存取 www.google.com 時,您可以在前端程式碼中使用 www.recaptcha.net。
- 首先,請將
<script src="https://www.google.com/recaptcha/enterprise.js?render=<SITE_KEY>"></script>替換為<script src="https://www.recaptcha.net/recaptcha/enterprise.js?render=<SITE_KEY>"></script>,並將<SITE_KEY>換成您的網站金鑰。 - 接著,將相同邏輯套用至網站上使用
www.google.com/recaptcha/的其他位置。
reCAPTCHA 會使用 Cookie 嗎?
執行 reCAPTCHA 時,系統會設定必要的 Cookie (_GRECAPTCHA),以提供風險分析。如果您不想使用可能已設定其他 Cookie 的 www.google.com 網域,可以改用 www.recaptcha.net。
我想隱藏 reCAPTCHA 標記。允許事項
只要在使用者流程中清楚說明您使用 reCAPTCHA 保護網站,且「適用 Google 服務條款和隱私權政策」,即可隱藏徽章。加入下列文字:
This site is protected by reCAPTCHA and the Google
<a href="https://policies.google.com/privacy">Privacy Policy</a> and
<a href="https://policies.google.com/terms">Terms of Service</a> apply.
例如:
我可以自訂 reCAPTCHA 小工具或徽章嗎?
可以。reCAPTCHA 提供淺色和深色主題。如要選擇主題,請在
grecaptcha.enterprise.render 參數中設定 data-theme 屬性。
淺色主題:
深色主題:
我在網站上使用內容安全政策 (CSP),如何設定與 reCAPTCHA 搭配使用?
建議您使用 CSP3 說明文件中記錄的方法。請務必在 reCAPTCHA api.js 指令碼標記中加入只能使用一次的號碼,其餘作業則交由我們處理。
或者,在指令中加入下列值:
- script-src https://www.google.com/recaptcha/、https://www.gstatic.com/recaptcha/
- frame-src https://www.google.com/recaptcha/、https://recaptcha.google.com/recaptcha/
- connect-src https://www.google.com/recaptcha/
在 Google Cloud 控制台的「驗證網域」清單中,我可以新增多少網域?
每個金鑰最多只能有 250 個網域。
如要在超過 250 個網域上使用金鑰,請參閱「為網站建立金鑰」。
我使用的第三方外掛程式/實作方式不正式支援 reCAPTCHA 的 Cloud API,只支援舊版 reCAPTCHA API siteverify。我還能使用 reCAPTCHA 嗎?
可以,您可以在 Google Cloud 控制台中找到舊版私密金鑰。 如要瞭解如何找出舊版密鑰,請參閱「找出舊版 reCAPTCHA 密鑰」。
在偵錯網站時,如何避免逐步執行 reCAPTCHA 程式碼?
如要避免在偵錯網站上的其他 JavaScript 時進入 reCAPTCHA 程式碼,請將 reCAPTCHA 指令碼 /recaptcha__.+\.js$ 新增至瀏覽器的忽略清單。如需 Chrome 的操作說明,請參閱「忽略自訂指令碼清單」。其他瀏覽器也提供類似功能。
為什麼使用者完成挑戰後,頁面會捲動至底部 (僅限 iOS 10)?
我們已向 Apple 回報這個對焦錯誤。 這項問題只會影響 iOS 10 的使用者,而且只會發生在部分網站。如果受到影響,請將 reCAPTCHA 小工具移至網頁較高或較低的位置,即可解決問題。
用量
使用 reCAPTCHA 時是否有任何速率限制?
是,請參閱配額與限制。
reCAPTCHA 資訊主頁採用哪個時區?我可以變更這項設定嗎?
這個時區是以瀏覽器的用戶端時區為準。目前無法變更這項設定。
如何評估 reCAPTCHA 傳回的分數品質?
最終還是要視您的用途和所需結果而定。一般來說,我們建議您使用自己的使用者行為內部指標,判斷分數是否準確,例如:
- 使用者重設密碼並獲得高分後,是否回報帳戶遭盜用?
- 使用者登入時分數偏低,是否會繼續傳送垃圾內容給其他人?
- 使用者登入失敗並獲得低分後,是否嘗試登入多個不同的使用者名稱?
如何查看網站流量的詳細資料?
您可以在Google Cloud 控制台的「reCAPTCHA」reCAPTCHA頁面查看詳細資料。
我想使用 reCAPTCHA 執行自動測試。該怎麼辦?
您可以使用 Google Cloud CLI 建立專為測試設計的 reCAPTCHA 網站金鑰。詳情請參閱「recaptcha keys create reference」頁面中的「--testing-challenge」和「--testing-score」選項。
範例:
- 建立一律傳回「No CAPTCHA」(沒有驗證問題) 和 1.0 的核取方塊網站金鑰 (變更下方的 --domains 和 --display-name)。
gcloud recaptcha keys create --testing-challenge=nocaptcha --testing-score=1.0 --web --domains="domain1.com,domain2.com" --display-name="Always No CAPTCHA" --integration-type=checkbox
- 建立一律會傳回不需要解題的驗證方法的核取方塊網站金鑰 (請變更下方的 --domains 和 --display-name)。
gcloud recaptcha keys create --testing-score=0.0 --testing-challenge=challenge --web --domains="domain1.com,domain2.com" --display-name="Unsolvable Challenge" --integration-type=checkbox
- 建立一律會傳回一組分數的評分式網站金鑰 (請變更下方的 --domains、--display-name 和 --testing-score)。
gcloud recaptcha keys create --testing-score=1.0 --web --domains="domain1.com,domain2.com" --display-name="Always 1" --integration-type=score
我想與 reCAPTCHA REST API 通訊。我可以假設日後的回應格式不會改變嗎?
隨著產品不斷演進,我們可能會套用非破壞性變更,例如在 API 中新增欄位。如果您使用 JSON,請勿嚴格驗證回應格式,以免與日後新增的 API 不相容。
如果想建立傳統版 reCAPTCHA 金鑰,有哪些選項?
reCAPTCHA 不再支援建立新的傳統金鑰。如果您有現有的傳統版金鑰,建議您從 reCAPTCHA 傳統版遷移。所有 Google Cloud reCAPTCHA 客戶每月都能免費建立 10,000 項評估。如要進一步瞭解用量和價格,請參閱 reCAPTCHA 定價。
資料處理
reCAPTCHA 會收集哪些工作階段資料?Google 如何保護這些資料?
如要瞭解 reCAPTCHA 蒐集的資料,以及 Google 採取的資料保護措施,請參閱《Cloud 資料處理修訂條款》和 reCAPTCHA 服務專屬條款。
如要進一步瞭解 Google 如何保護資料,請參閱安全性白皮書。
reCAPTCHA 是否符合《一般資料保護規則》?
可以。我們支持任何以客戶個人資料安全和隱私為優先考量並推動相關改進措施的計畫,並且會遵守 GDPR 的規定,讓每位 reCAPTCHA 客戶都能安心使用我們提供的服務。 Google Cloud我們在《Cloud 資料處理附加條款》中承諾,會遵守 GDPR,以符合規範的方式處理所有服務 (包括 reCAPTCHA) 中的客戶個人資料。 Google Cloud
如需 reCAPTCHA 專屬的附加條款,請參閱 reCAPTCHA 服務專屬條款。
reCAPTCHA 會收集付款交易資訊嗎?
在付款交易頁面安裝 reCAPTCHA 後,系統會檢查特定交易信號,協助防範自動攻擊。舉例來說,如果每秒有多次以相同價格進行購買的嘗試,在某些情況下可能表示遭到攻擊。
不過,機器人只是整體詐欺問題的一小部分。如要獲得更全面的保護,請整合 reCAPTCHA 詐欺防護,以便傳送更完整的交易資訊,並接收卡片測試和卡片竊取等詐欺行為的評估結果。