Dieses Dokument bietet einen Überblick über die reCAPTCHA-Firewallrichtlinien.
reCAPTCHA-Firewallrichtlinien sind eine Liste konfigurierbarer Regeln, die auf Bedingungsattribute abgestimmt werden, um Ihre Website vor Spam und Missbrauch zu schützen.
Komponenten von reCAPTCHA-Firewallrichtlinien
Eine reCAPTCHA-Firewallrichtlinienregel besteht aus den folgenden Komponenten:
path: Ein URL-Pfad, auf den die Firewallrichtlinienregel angewendet wird. Beispiel:/loginDer Pfad kann ein Glob-Muster wie/*.htmlsein.condition: Eine Richtlinienbedingung. Eine Richtlinienbedingung ist ein CEL-Ausdruck (Common Expression Language), der in einen booleschen Wert aufgelöst werden muss. Beispiel:recaptcha.score >= 0.5.action: Eine Aktion, die Ihr WAF-Plug-in ausführen muss, wenn die Richtlinienbedingung erfüllt ist. Weitere Informationen finden Sie unter Richtlinienaktionen.
Wenn eine eingehende Anfrage sowohl mit dem Pfad als auch mit der Bedingung einer Richtlinie übereinstimmt, wendet das reCAPTCHA-Plug-in für Ihren WAF-Dienstanbieter eine Aktion an. Verfügbare Aktionen sind unter anderem: Anfrage zulassen, blockieren oder zu einer Seite mit Interstitial-Challenge weiterleiten.
Richtlinien werden der Reihe nach ausgewertet und nur eine Richtlinie wird aktiviert. Wenn keine Richtlinie übereinstimmt, wird der Zugriff standardmäßig zugelassen.
Die folgende Beispiel-reCAPTCHA-Firewallrichtlinie enthält eine Regel, die auf die Aktion login angewendet wird. Der Zugriff wird blockiert, wenn der Wert unter 0,5 liegt.
policy {
path: login.php
condition: recaptcha.score < 0.5
action: block
}
Attribute für reCAPTCHA-Firewallrichtlinienbedingungen
In der folgenden Tabelle sind die Attribute für reCAPTCHA-Tokens aufgeführt, mit denen Sie Bedingungen in Ihren reCAPTCHA-Firewallrichtlinien definieren können.
| Attributname | Datentyp | Beschreibung |
|---|---|---|
recaptcha.token.valid |
boolean | Gibt an, ob das empfangene Token gültig ist. Ein Token ist gültig, wenn es nicht fehlerhaft oder abgelaufen ist, auch wenn die Punktzahl niedrig ist. |
recaptcha.token.action |
String | Der Aktionsname, der bei der Tokengenerierung angegeben wurde.
Wird nur für Aktionstokens ausgefüllt. Dies ist der Parameter action, der beim Erstellen des Tokens an grecaptcha.enterprise.execute() übergeben wird.
Weitere Informationen finden Sie unter Aktionsnamen.
|
recaptcha.score |
float | Der Score eines reCAPTCHA-Tokens. Ein gültiger Wert liegt zwischen 0,0 und 1,0. Ein Wert von 1,0 bedeutet, dass die Interaktion ein geringes Risiko darstellt und wahrscheinlich legitim ist. 0,0 gibt hingegen an, dass die Interaktion ein hohes Risiko darstellt und betrügerisch sein kann. Weitere Informationen finden Sie unter Punktzahlen interpretieren. |
recaptcha.assessment_type |
integer | Die Art der durchgeführten Bewertung. assessment_type
wird gemäß dem reCAPTCHA-Schlüssel für WAF festgelegt, der mit der Anfrage übergeben wird.
Verwenden Sie eine der folgenden Konstanten, um den Wert von
AssessmentType.ACTION.
|
http.ip |
String | Die IP-Adresse der eingehenden Anfrage. |
http.path |
String | Der Pfad des Anfrage-URI. |
http.domain |
String | Die Domain des angeforderten URI. |
reCAPTCHA-Firewallrichtlinienaktionen
In der folgenden Tabelle sind die verschiedenen Richtlinienaktionen aufgeführt, die Sie in Ihren reCAPTCHA-Firewallrichtlinienregeln angeben können:
| Richtlinienaktion | Beschreibung | Ergebnis der Aktion |
|---|---|---|
allow |
Ermöglicht den Zugriff auf die angeforderte Seite. | Die eingehende Nutzeranfrage wird ohne Unterbrechung an Ihr Backend weitergeleitet. |
block |
Verweigert den Zugriff auf die angeforderte Seite. | Dem Nutzer wird ein HTTP-Fehler 403 (Verboten) zurückgegeben. |
redirect |
Leitet die eingehende Nutzeranfrage zur reCAPTCHA-Abfrageseite weiter. | Auf der reCAPTCHA-Abfrageseite wird die Nutzeranfrage ausgewertet und basierend auf der Bewertung ein Cookie angehängt. Später wird die Nutzeranfrage wieder zur ursprünglichen Seite weitergeleitet. |
substitute |
Bei einer betrügerischen Nutzeranfrage wird eine andere Seite als die angeforderte Seite ausgeliefert. | Der angeforderte Pfad wird durch einen anderen Pfad ersetzt, wenn die Anfrage an Ihr Backend gesendet wird. Der Nutzer sieht weiterhin die ursprüngliche URL. |
set_header |
Legt einen benutzerdefinierten Header fest und ermöglicht, dass die eingehende Nutzeranfrage an das Backend weitergeleitet wird. Das Backend kann dann einen benutzerdefinierten Schutz auslösen. | Der Nutzeranfrage wird ein Header angehängt. Ihr Backend verwendet diesen Header, um einen benutzerdefinierten Schutz oder eine benutzerdefinierte Analyse auszulösen. |