Google Cloud Armor für Websites einbinden

In diesem Dokument erfahren Sie, wie Sie reCAPTCHA für WAF in Google Cloud Armor auf Websites einbinden.

Implementieren Sie zum Abschließen der Integration mindestens ein Feature von reCAPTCHA for WAF und konfigurieren Sie Google Cloud Armor-Sicherheitsrichtlinien.

Hinweise

1. Aktivieren Sie die reCAPTCHA Enterprise API.

   Enable the API

2. Planen Sie, wie Sie die Funktionen von reCAPTCHA for WAF implementieren möchten, um Ihre Website zu schützen.

   1. Wählen Sie ein oder mehrere WAF-Features aus, die am besten zu Ihrem Anwendungsfall passen.
   2. Ermitteln Sie die Seiten, die Sie schützen möchten, und die Art der WAF-Funktion, die Sie auf diesen Seiten implementieren möchten.

Funktionen von reCAPTCHA for WAF implementieren

Je nach Ihren Anforderungen können Sie eine oder mehrere Funktionen von reCAPTCHA for WAF in einer einzelnen Anwendung verwenden.

Wenn Sie mehrere Funktionen verwenden möchten, müssen Sie für jede dieser Funktionen einen reCAPTCHA-Schlüssel erstellen und in Ihrer Anwendung verwenden. Wenn Sie beispielsweise reCAPTCHA-Aktionstokens und die reCAPTCHA-Abfrageseite verwenden möchten, müssen Sie einen Aktionstoken-Schlüssel und einen Schlüssel für die Abfrageseite erstellen und in Ihrer Anwendung verwenden.

reCAPTCHA-Aktionstokens implementieren

reCAPTCHA muss auf Ihren Webseiten ausgeführt werden, um Aktionstokens zu generieren. Nachdem reCAPTCHA ein Aktionstoken generiert hat, hängen Sie das Token an einen vordefinierten Anfrageheader an, wo Sie Nutzeraktionen wie checkout schützen müssen. Aktionstokens sind standardmäßig 30 Minuten lang gültig, können aber je nach Traffic variieren. Sie müssen das Aktionstoken vor dem Ablauf des Tokens an einen vordefinierten Anfrageheader anhängen, damit Google Cloud Armor die Tokenattribute auswerten kann.

So implementieren Sie ein reCAPTCHA-Aktionstoken:

1. Erstellen Sie einen Schlüssel für Aktionstokens für Ihre Website.

   Cloud Console

   1. Rufen Sie in der Google Cloud Console die Seite reCAPTCHA auf.

      Zu reCAPTCHA

   2. Prüfen Sie, ob der Name Ihres Projekts in der Ressourcenauswahl oben auf der Seite angezeigt wird.

      Wenn Sie den Namen Ihres Projekts nicht sehen, klicken Sie auf die Ressourcenauswahl und wählen Sie Ihr Projekt aus.

   3. Klicken Sie auf Schlüssel erstellen.
   4. Geben Sie im Feld Anzeigename einen Anzeigenamen für den Schlüssel ein.
   5. Führen Sie je nach Plattform, für die Sie reCAPTCHA-Schlüssel für WAF erstellen möchten, die entsprechende Aktion aus:
   1. Wählen Sie als Anwendungstyp die Option Web aus.

      Der Abschnitt Domainliste wird angezeigt.

   2. Geben Sie den Domainnamen für Ihre Website ein:

      1. Klicken Sie im Abschnitt Domainliste auf Domain hinzufügen.
      2. Geben Sie im Feld Domain den Namen Ihrer Domain ein.

      3. Optional: Klicken Sie zum Hinzufügen einer zusätzlichen Domain auf Domain hinzufügen und geben Sie den Namen einer anderen Domain in das Feld Domain ein. Sie können bis zu 250 Domains hinzufügen.

         Bei Websites gilt der reCAPTCHA-Schlüssel nur für die von Ihnen angegebenen Domains und Subdomains. Sie können mehrere Domains angeben, wenn Sie Ihre Website von mehreren Domains bereitstellen. Wenn Sie eine Domain angeben (z. B. examplepetstore.com), müssen Sie ihre Subdomains nicht angeben (z. B. subdomain.examplepetstore.com).

   3. Aktivieren Sie unter Zusätzliche Einstellungen die Ein/Aus-Schaltfläche Wird dieser Schlüssel in einer Web Application Firewall (WAF) bereitgestellt?.

   4. Wählen Sie in den Funktionsoptionen die Option Aktion aus.

   5. Optional: Aktivieren Sie die Ein/Aus-Schaltfläche Möchten Sie Aufgaben verwenden?.

   6. Klicken Sie auf Schlüssel erstellen.

   Der neu erstellte Schlüssel wird auf der Seite reCAPTCHA-Schlüssel aufgeführt.

   gcloud

   Verwenden Sie den Befehl gcloud recaptcha keys create, um reCAPTCHA-Schlüssel zu erstellen.

   Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

   • DISPLAY_NAME: Name für den Schlüssel. In der Regel ein Websitename.
   • INTEGRATION_TYPE: Integrationstyp. Geben Sie score oder checkbox an.
   • DOMAIN_NAME: Domains oder Subdomains von Websites, die den Schlüssel verwenden dürfen.

     Geben Sie mehrere Domains als durch Kommas getrennte Liste an. Optional: Geben Sie --allow-all-domains an, um die Domainbestätigung zu deaktivieren.

     Das Deaktivieren der Domainbestätigung birgt ein Sicherheitsrisiko, da es keine Einschränkungen für die Website gibt. Ihr reCAPTCHA-Schlüssel kann also von jedem aufgerufen und verwendet werden.

   • WAF_FEATURE: Name des WAF-Features. Geben Sie action-token an.
   • WAF_SERVICE: Name des WAF-Dienstanbieters. Geben Sie CA für Google Cloud Armor an.

   Führen Sie den Befehl gcloud recaptcha keys create aus:

   Linux, macOS oder Cloud Shell

   gcloud recaptcha keys create \
   --web \
   --display-name=DISPLAY_NAME  \
   --integration-type=INTEGRATION_TYPE \
   --domains=DOMAIN_NAME \
   --waf-feature=WAF_FEATURE \
   --waf-service=WAF_SERVICE

   Windows (PowerShell)

   gcloud recaptcha keys create `
   --web `
   --display-name=DISPLAY_NAME  `
   --integration-type=INTEGRATION_TYPE `
   --domains=DOMAIN_NAME `
   --waf-feature=WAF_FEATURE `
   --waf-service=WAF_SERVICE

   Windows (cmd.exe)

   gcloud recaptcha keys create ^
   --web ^
   --display-name=DISPLAY_NAME  ^
   --integration-type=INTEGRATION_TYPE ^
   --domains=DOMAIN_NAME ^
   --waf-feature=WAF_FEATURE ^
   --waf-service=WAF_SERVICE

   Die Antwort enthält den neu erstellten reCAPTCHA-Schlüssel.

   REST

   API-Referenzinformationen zu Schlüsseltypen und Integrationstypen finden Sie unter Schlüssel und Integrationstyp.

   Ersetzen Sie diese Werte in den folgenden Anfragedaten:

   • DISPLAY_NAME: Name für den Schlüssel. In der Regel ein Websitename.
   • INTEGRATION_TYPE: Integrationstyp. Geben Sie score oder checkbox an.
   • DOMAIN_NAME: Domains oder Subdomains von Websites, die den Schlüssel verwenden dürfen.

     Geben Sie mehrere Domains als durch Kommas getrennte Liste an. Optional: Geben Sie --allow-all-domains an, um die Domainbestätigung zu deaktivieren.

     Das Deaktivieren der Domainbestätigung birgt ein Sicherheitsrisiko, da es keine Einschränkungen für die Website gibt. Ihr reCAPTCHA-Schlüssel kann also von jedem aufgerufen und verwendet werden.

   • WAF_FEATURE: Name des WAF-Features. Geben Sie action-token an.
   • WAF_SERVICE: Name des WAF-Dienstanbieters. Geben Sie CA für Google Cloud Armor an.

   HTTP-Methode und URL:

   POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

   JSON-Text der Anfrage:

   
   {
     "displayName": "DISPLAY_NAME",
      'wafSettings': "  {
          "wafService": "WAF_SERVICE",
     
   "wafFeature": "WAF_FEATURE"
     }
     "webSettings": {
       "allowedDomains": "DOMAINS",
       "integrationType": "TYPE_OF_INTEGRATION"
      }
      
   }
   

   Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

   curl

   Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

   curl -X POST \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        -H "Content-Type: application/json; charset=utf-8" \
        -d @request.json \
        "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

   PowerShell

   Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred" }
   
   Invoke-WebRequest `
       -Method POST `
       -Headers $headers `
       -ContentType: "application/json; charset=utf-8" `
       -InFile request.json `
       -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

   Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

   
   {
     "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m",
   "displayName": "DISPLAY_NAME,
   
   "webSettings": {
     "allowAllDomains": true,
     "allowedDomains": [
       "localhost"
     ],
   
    "integrationType": "SCORE",
   
   
   },
   "wafSettings": {
     "wafService": "CA",
   
     "wafFeature": "ACTION_TOKEN"
     
   
   }
   }
   
   

2. Binden Sie das reCAPTCHA-JavaScript auf Ihren Webseiten mit dem von Ihnen erstellten Aktionstoken-Schlüssel ein. Eine Anleitung finden Sie im Dokument, das dem Integrationstyp Ihres Aktionsschlüssel entspricht.

   • Informationen zum Integrationstyp SCORE finden Sie unter Punktzahlbasierte Schlüssel in das Frontend einbinden.
   • Informationen zum Integrationstyp CHECKBOX finden Sie unter reCAPTCHA-Widget im Frontend rendern.

3. Nachdem Sie das Token von reCAPTCHA erhalten haben, hängen Sie es an einen vordefinierten Anfrageheader im folgenden Format an:

    X-Recaptcha-Token: value-of-your-action-token
   

   Sie können Sprachen wie XHR, Ajax oder Fetch API verwenden, um das Token an einen vordefinierten Anfrage-Header anzuhängen.

   Das folgende Beispielskript zeigt, wie die execute-Aktion geschützt und das Token mithilfe von JavaScript + XHR an einen vordefinierten Anfrage-Header angehängt wird:

     
     <script>
       src="https://www.google.com/recaptcha/enterprise.js?render=ACTION_TOKEN_KEY"></script>
   
       <script>
       function onSuccess(action_token) {
            const xhr = new XMLHttpRequest();
            xhr.open('GET','YOUR_URL', false);
            // Attach the action-token to the predefined request header
            xhr.setRequestHeader("X-Recaptcha-Token", action_token);
            xhr.send(null);
          }
          function onError(reason) {
            alert('Response promise rejected: ' + reason);
          grecaptcha.enterprise.ready(function () {
            document.getElementById("execute-button").onclick = () => {
              grecaptcha.enterprise.execute('ACTION_TOKEN_KEY', {
              }).then(onSuccess, onError);
            };
          });
         }
       </script>
     
     

reCAPTCHA-Sitzungstokens implementieren

Das reCAPTCHA-JavaScript legt nach der Bewertung ein reCAPTCHA-Sitzungstoken als Cookie im Browser des Endnutzers fest. Der Browser des Endnutzers hängt das Cookie an und aktualisiert das Cookie, solange das reCAPTCHA-JavaScript aktiv bleibt.

Um ein Sitzungs-Token als Cookie bereitzustellen, installieren Sie einen Sitzungs-Token-Schlüssel auf mindestens einer Ihrer Webseiten, die die folgenden Anforderungen erfüllen:

• Die Webseite muss die Seite sein, die der Endnutzer vor der Seite aufruft, die geschützt werden muss. Wenn Sie beispielsweise die Kassenseite schützen möchten, installieren Sie einen Sitzungstoken-Schlüssel auf der Startseite oder der Produktseite.
• Die Webseite wird durch eine Google Cloud Armor-Sicherheitsrichtlinie geschützt.

Mit diesem Cookie können Sie nachfolgende Anfragen des Endnutzers und das Laden der Seite in einer bestimmten Domain schützen. Sitzungstokens sind standardmäßig 30 Minuten lang gültig. Wenn der Endnutzer jedoch auf der Seite verbleibt, auf der Sie das Sitzungstoken implementiert haben, aktualisiert reCAPTCHA das Sitzungstoken regelmäßig, um zu verhindern, dass es abläuft.

Installieren Sie Sitzungs-Tokens auf jeder Seite, die durch reCAPTCHA geschützt werden muss. Wir empfehlen, jede Seite mit reCAPTCHA zu schützen und Google Cloud Armor-Regeln zu verwenden, um den Zugriff auf allen Seiten zu erzwingen, mit Ausnahme der ersten Seite, die Endnutzer durchsuchen.

   recaptcha-ca-t=value-of-your-session-token;domain=domain;expires=expiration_time

So implementieren Sie ein reCAPTCHA-Sitzungstoken:

1. Erstellen Sie einen Sitzungstoken-Schlüssel für Ihre Website.

   Cloud Console

   1. Rufen Sie in der Google Cloud Console die Seite reCAPTCHA auf.

      Zu reCAPTCHA

   2. Prüfen Sie, ob der Name Ihres Projekts in der Ressourcenauswahl oben auf der Seite angezeigt wird.

      Wenn Sie den Namen Ihres Projekts nicht sehen, klicken Sie auf die Ressourcenauswahl und wählen Sie Ihr Projekt aus.

   3. Klicken Sie auf Schlüssel erstellen.
   4. Geben Sie im Feld Anzeigename einen Anzeigenamen für den Schlüssel ein.
   5. Führen Sie je nach Plattform, für die Sie reCAPTCHA-Schlüssel für WAF erstellen möchten, die entsprechende Aktion aus:
   1. Wählen Sie als Anwendungstyp die Option Web aus.

      Der Abschnitt Domainliste wird angezeigt.

   2. Geben Sie den Domainnamen für Ihre Website ein:

      1. Klicken Sie im Abschnitt Domainliste auf Domain hinzufügen.
      2. Geben Sie im Feld Domain den Namen Ihrer Domain ein.

      3. Optional: Klicken Sie zum Hinzufügen einer zusätzlichen Domain auf Domain hinzufügen und geben Sie den Namen einer anderen Domain in das Feld Domain ein. Sie können bis zu 250 Domains hinzufügen.

         Bei Websites gilt der reCAPTCHA-Schlüssel nur für die von Ihnen angegebenen Domains und Subdomains. Sie können mehrere Domains angeben, wenn Sie Ihre Website von mehreren Domains bereitstellen. Wenn Sie eine Domain angeben (z. B. examplepetstore.com), müssen Sie ihre Subdomains nicht angeben (z. B. subdomain.examplepetstore.com).

   3. Aktivieren Sie unter Zusätzliche Einstellungen die Ein/Aus-Schaltfläche Wird dieser Schlüssel in einer Web Application Firewall (WAF) bereitgestellt?.

   4. Wählen Sie unter Funktion die Option Sitzung aus.

   5. Optional:Aktivieren Sie Domainbestätigung deaktivieren.

      Das Deaktivieren der Domainbestätigung birgt ein Sicherheitsrisiko, da es keine Einschränkungen für die Website gibt. Ihr reCAPTCHA-Schlüssel kann also von jedem aufgerufen und verwendet werden.

   6. Klicken Sie auf Schlüssel erstellen.

   Der neu erstellte Schlüssel wird auf der Seite reCAPTCHA-Schlüssel aufgeführt.

   gcloud

   Verwenden Sie den Befehl gcloud recaptcha keys create, um reCAPTCHA-Schlüssel zu erstellen.

   Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

   • DISPLAY_NAME: Name für den Schlüssel. In der Regel ein Websitename.
   • INTEGRATION_TYPE: Integrationstyp. Geben Sie score an.
   • DOMAIN_NAME: Domains oder Subdomains von Websites, die den Schlüssel verwenden dürfen.

     Geben Sie mehrere Domains als durch Kommas getrennte Liste an. Optional: Geben Sie --allow-all-domains an, um die Domainbestätigung zu deaktivieren.

     Das Deaktivieren der Domainbestätigung birgt ein Sicherheitsrisiko, da es keine Einschränkungen für die Website gibt. Ihr reCAPTCHA-Schlüssel kann also von jedem aufgerufen und verwendet werden.

   • WAF_FEATURE: Name des WAF-Features. Geben Sie session-token an.
   • WAF_SERVICE: Name des WAF-Dienstanbieters. Geben Sie CA für Google Cloud Armor an.

   Führen Sie den Befehl gcloud recaptcha keys create aus:

   Linux, macOS oder Cloud Shell

   gcloud recaptcha keys create \
   --web \
   --display-name=DISPLAY_NAME  \
   --integration-type=INTEGRATION_TYPE \
   --domains=DOMAIN_NAME \
   --waf-feature=WAF_FEATURE \
   --waf-service=WAF_SERVICE

   Windows (PowerShell)

   gcloud recaptcha keys create `
   --web `
   --display-name=DISPLAY_NAME  `
   --integration-type=INTEGRATION_TYPE `
   --domains=DOMAIN_NAME `
   --waf-feature=WAF_FEATURE `
   --waf-service=WAF_SERVICE

   Windows (cmd.exe)

   gcloud recaptcha keys create ^
   --web ^
   --display-name=DISPLAY_NAME  ^
   --integration-type=INTEGRATION_TYPE ^
   --domains=DOMAIN_NAME ^
   --waf-feature=WAF_FEATURE ^
   --waf-service=WAF_SERVICE

   Die Antwort enthält den neu erstellten reCAPTCHA-Schlüssel.

   REST

   API-Referenzinformationen zu Schlüsseltypen und Integrationstypen finden Sie unter Schlüssel und Integrationstyp.

   Ersetzen Sie diese Werte in den folgenden Anfragedaten:

   • DISPLAY_NAME: Name für den Schlüssel. In der Regel ein Websitename.
   • INTEGRATION_TYPE: Integrationstyp. Geben Sie score an.
   • DOMAIN_NAME: Domains oder Subdomains von Websites, die den Schlüssel verwenden dürfen.

     Geben Sie mehrere Domains als durch Kommas getrennte Liste an. Optional: Geben Sie --allow-all-domains an, um die Domainbestätigung zu deaktivieren.

     Das Deaktivieren der Domainbestätigung birgt ein Sicherheitsrisiko, da es keine Einschränkungen für die Website gibt. Ihr reCAPTCHA-Schlüssel kann also von jedem aufgerufen und verwendet werden.

   • WAF_FEATURE: Name des WAF-Features. Geben Sie session-token an.
   • WAF_SERVICE: Name des WAF-Dienstanbieters. Geben Sie CA für Google Cloud Armor an.

   HTTP-Methode und URL:

   POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

   JSON-Text der Anfrage:

   
   {
     "displayName": "DISPLAY_NAME",
      'wafSettings': "  {
          "wafService": "WAF_SERVICE",
     
   "wafFeature": "WAF_FEATURE"
     }
     "webSettings": {
       "allowedDomains": "DOMAINS",
       "integrationType": "TYPE_OF_INTEGRATION"
      }
      
   }
   

   Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

   curl

   Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

   curl -X POST \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        -H "Content-Type: application/json; charset=utf-8" \
        -d @request.json \
        "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

   PowerShell

   Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred" }
   
   Invoke-WebRequest `
       -Method POST `
       -Headers $headers `
       -ContentType: "application/json; charset=utf-8" `
       -InFile request.json `
       -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

   Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

   
   {
     "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m",
   "displayName": "DISPLAY_NAME,
   
   "webSettings": {
     "allowAllDomains": true,
     "allowedDomains": [
       "localhost"
     ],
   
    "integrationType": "SCORE",
   
   
   },
   "wafSettings": {
     "wafService": "CA",
   
     "wafFeature": "SESSION_TOKEN"
   
   
   }
   }
   
   

2. Fügen Sie dem reCAPTCHA-JavaScript den Sitzungs-Token-Schlüssel und waf=session hinzu.

   Das folgende Beispielskript zeigt, wie ein Sitzungs-Token auf einer Webseite implementiert wird:

   <!DOCTYPE html>
   <html lang="en">
   <head>
    <meta charset="UTF-8">
    <title>reCAPTCHA WAF Session Token</title>
    <script src="https://www.google.com/recaptcha/enterprise.js?render=SESSION_TOKEN_KEY&waf=session" async defer></script>
    <body></body>
   </head>
   </html>

reCAPTCHA-Abfrageseite implementieren

Wenn Sie eine reCAPTCHA-Herausforderungsseite implementieren, leitet reCAPTCHA zu einer Interstitials-Seite weiter, auf der ermittelt wird, ob einem Nutzer eine CAPTCHA-Herausforderung angezeigt werden muss. Daher sind CAPTCHA-Herausforderungen möglicherweise nicht für alle Nutzer sichtbar.

Wenn Sie eine reCAPTCHA-Abfrageseite implementieren möchten, erstellen Sie einen Schlüssel für die Abfrageseite für Ihre Website.

gcloud recaptcha keys create \
--web \
--display-name=DISPLAY_NAME  \
--integration-type=INTEGRATION_TYPE \
--domains=DOMAIN_NAME \
--waf-feature=WAF_FEATURE \
--waf-service=WAF_SERVICE

gcloud recaptcha keys create `
--web `
--display-name=DISPLAY_NAME  `
--integration-type=INTEGRATION_TYPE `
--domains=DOMAIN_NAME `
--waf-feature=WAF_FEATURE `
--waf-service=WAF_SERVICE

gcloud recaptcha keys create ^
--web ^
--display-name=DISPLAY_NAME  ^
--integration-type=INTEGRATION_TYPE ^
--domains=DOMAIN_NAME ^
--waf-feature=WAF_FEATURE ^
--waf-service=WAF_SERVICE

POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

{
  "displayName": "DISPLAY_NAME",
   'wafSettings': "  {
       "wafService": "WAF_SERVICE",
  
"wafFeature": "WAF_FEATURE"
  }
  "webSettings": {
    "allowedDomains": "DOMAINS",
    "integrationType": "TYPE_OF_INTEGRATION"
   }
   
}

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

{
  "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m",
"displayName": "DISPLAY_NAME,

"webSettings": {
  "allowAllDomains": true,
  "allowedDomains": [
    "localhost"
  ],

  "integrationType": "INVISIBLE",
 

},
"wafSettings": {
  "wafService": "CA",

  "wafFeature": "CHALLENGE_PAGE"
  

}
}

Google Cloud Armor-Sicherheitsrichtlinien konfigurieren

Nachdem Sie die Funktionen von reCAPTCHA for WAF implementiert haben, müssen Sie Google Cloud Armor-Sicherheitsrichtlinien für die Bot-Verwaltung konfigurieren.

Wenn Sie eine reCAPTCHA-Abfrageseite implementiert haben, müssen Sie Folgendes tun:

1. Verknüpfen Sie den Schlüssel der Challenge-Seite mit Ihrer Sicherheitsrichtlinie.
2. Konfigurieren Sie eine Sicherheitsrichtlinienregel, um eine Anfrage für die reCAPTCHA-Bewertung weiterzuleiten.

Wenn Sie reCAPTCHA-Aktions- oder Sitzungstokens implementiert haben, müssen Sie eine Sicherheitsrichtlinienregel konfigurieren, die reCAPTCHA-Tokens auswertet.

Bevor Sie die Google Cloud Armor-Sicherheitsrichtlinien konfigurieren, sollten Sie sich mit den reCAPTCHA-Tokenattributen für Google Cloud Armor vertraut machen.

Informationen zum Konfigurieren von Google Cloud Armor-Sicherheitsrichtlinien und zur Verwendung der reCAPTCHA-Schlüssel für WAF mit Ihren Sicherheitsrichtlinien finden Sie unter Regeln für die Bot-Verwaltung konfigurieren.

reCAPTCHA-Punktzahlen abrufen

Für reCAPTCHA-Aktions- und Sitzungstokens können Sie reCAPTCHA-Scores aus dem X-Recaptcha-Wafdata-Header abrufen. Anhand dieser Werte können Sie benutzerdefinierte Aktionen konfigurieren, die für Nutzeranfragen ausgeführt werden müssen.

Das folgende Beispiel zeigt einen Beispielheader für X-Recaptcha-Wafdata:

X-Recaptcha-Wafdata: waf_service="Google Cloud Armor", action_token;score=0.9, session_token;score=0.8\r\n

Sie können sich die reCAPTCHA-Bewertungen auch in den Google Cloud Armor-Logs ansehen.

Nächste Schritte

• Beispiele für die Einbindung in Google Cloud Armor
• Informationen zur Implementierung von reCAPTCHA WAF-Funktionen mit Google Cloud Armor