本文档介绍了如何将 reCAPTCHA for WAF 与 Fastly 集成。
如需完成集成,您必须实现 reCAPTCHA for WAF 的一项或多项功能,创建 reCAPTCHA 防火墙政策,并与 Fastly 计算服务集成。
准备工作
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
记录您的 Google Cloud 项目 ID,以备日后使用。Make sure that billing is enabled for your Google Cloud project.
Enable the reCAPTCHA Enterprise API.
创建用于身份验证的 API 密钥:
在 Google Cloud 控制台中,前往凭据页面。
点击 创建凭据,然后选择 API 密钥。
记录 API 密钥以备后用。
规划如何实现 reCAPTCHA for WAF 的功能来保护您的网站。
- 选择最适合您的使用情形的一项或多项 WAF 功能。
- 确定要保护的网页以及要在这些网页上实现的 WAF 功能类型。
- 确定允许或禁止访问的条件。
- 了解 reCAPTCHA 防火墙政策组件及其属性,以便您创建 reCAPTCHA 防火墙政策。如需查看示例,请参阅 reCAPTCHA 防火墙政策示例。
下载适用于 Fastly 的 reCAPTCHA 软件包
recaptcha_fastly_client_0.1.0.tar.gz。创建一个具有 Compute@Edge 功能的 Fastly 账号。
实现 reCAPTCHA for WAF 的功能
根据您的要求,您可以在单个应用中使用 reCAPTCHA for WAF 的一个或多个功能。
如果您想使用多项功能,则必须为每项功能分别创建 reCAPTCHA 密钥,并在应用中使用这些密钥。例如,如果您想使用 reCAPTCHA 操作令牌和 reCAPTCHA 质询页面,则必须创建操作令牌密钥和质询页面密钥,并在应用中使用它们。
action-token
您必须在网页上运行 reCAPTCHA 才能生成操作令牌。
reCAPTCHA 生成操作令牌后,您可以在需要保护任何用户操作(例如 checkout)的情况下将操作令牌附加到预定义的请求标头。默认情况下,操作令牌的有效期为 30 分钟,但可能会因流量而异。您必须在操作令牌到期之前将它附加到预定义的请求标头,使得 Fastly 可以评估令牌属性。
如需实现 reCAPTCHA 操作令牌,请执行以下操作:
为您的网站创建操作令牌密钥。
gcloud
如需创建 reCAPTCHA 键,请使用 gcloud recaptcha keys create 命令。
在使用下面的命令数据之前,请先进行以下替换:
- DISPLAY_NAME:密钥的名称。通常是网站名称。
- INTEGRATION_TYPE:集成类型。
指定
score或checkbox。 - DOMAIN_NAME:获准使用该密钥的网站的网域或子网域。
以英文逗号分隔的列表形式指定多个网域。可选:指定
--allow-all-domains以停用域名验证。停用域名验证是一项安全风险,因为网站不受限制,因此任何人都可以访问和使用 reCAPTCHA 密钥。
- WAF_FEATURE:WAF 功能的名称。
指定
action-token。 - WAF_SERVICE:WAF 服务提供商的名称。
为“快速”指定
fastly。
执行 gcloud recaptcha keys create 命令:
Linux、macOS 或 Cloud Shell
gcloud recaptcha keys create \ --web \ --display-name=DISPLAY_NAME \ --integration-type=INTEGRATION_TYPE \ --domains=DOMAIN_NAME \ --waf-feature=WAF_FEATURE \ --waf-service=WAF_SERVICE
Windows (PowerShell)
gcloud recaptcha keys create ` --web ` --display-name=DISPLAY_NAME ` --integration-type=INTEGRATION_TYPE ` --domains=DOMAIN_NAME ` --waf-feature=WAF_FEATURE ` --waf-service=WAF_SERVICE
Windows (cmd.exe)
gcloud recaptcha keys create ^ --web ^ --display-name=DISPLAY_NAME ^ --integration-type=INTEGRATION_TYPE ^ --domains=DOMAIN_NAME ^ --waf-feature=WAF_FEATURE ^ --waf-service=WAF_SERVICE
响应中包含新创建的 reCAPTCHA 密钥。
REST
如需了解密钥类型和集成类型的 API 参考信息,请参阅密钥和集成类型。在使用任何请求数据之前,请先进行以下替换:
- DISPLAY_NAME:密钥的名称。通常是网站名称。
- INTEGRATION_TYPE:集成类型。
指定
score或checkbox。 - DOMAIN_NAME:获准使用该密钥的网站的网域或子网域。
以英文逗号分隔的列表形式指定多个网域。可选:指定
--allow-all-domains以停用域名验证。停用域名验证是一项安全风险,因为网站不受限制,因此任何人都可以访问和使用 reCAPTCHA 密钥。
- WAF_FEATURE:WAF 功能的名称。
指定
action-token。 - WAF_SERVICE:WAF 服务提供商的名称。
为“快速”指定
fastly。
HTTP 方法和网址:
POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys
请求 JSON 正文:
{ "displayName": "DISPLAY_NAME", 'wafSettings': " { "wafService": "WAF_SERVICE", "wafFeature": "WAF_FEATURE" } "webSettings": { "allowedDomains": "DOMAINS", "integrationType": "TYPE_OF_INTEGRATION" } }如需发送请求,请选择以下方式之一:
curl
将请求正文保存在名为
request.json的文件中,然后执行以下命令:curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"PowerShell
将请求正文保存在名为
request.json的文件中,然后执行以下命令:$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content您应该收到类似以下内容的 JSON 响应:
{ "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m", "displayName": "DISPLAY_NAME, "webSettings": { "allowAllDomains": true, "allowedDomains": [ "localhost" ], "integrationType": "SCORE", }, "wafSettings": { "wafService": "fastly", "wafFeature": "ACTION_TOKEN" } }记录您的 action-token 键以备后用。
-
在网页上集成 reCAPTCHA JavaScript,并使用您创建的操作令牌密钥。如需查看相关说明,请参阅与您的 Action-Token 键的集成类型对应的文档。
- 对于
SCORE集成类型,请参阅将基于得分的密钥与前端集成。 - 对于
CHECKBOX集成类型,请参阅在前端呈现 reCAPTCHA 微件。
- 对于
-
从 reCAPTCHA 收到令牌后,请将令牌附加到预定义的请求标头,格式如下:
X-Recaptcha-Token: value-of-your-action-token
您可以使用 XHR、Ajax 或 Fetch API 等语言将令牌附加到预定义的请求标头。
以下示例脚本展示了如何使用 JavaScript + XHR 保护
execute操作并将令牌附加到预定义的请求标头:<script> src="https://www.google.com/recaptcha/enterprise.js?render=ACTION_TOKEN_KEY"></script> <script> function onSuccess(action_token) { const xhr = new XMLHttpRequest(); xhr.open('GET','YOUR_URL', false); // Attach the action-token to the predefined request header xhr.setRequestHeader("X-Recaptcha-Token", action_token); xhr.send(null); } function onError(reason) { alert('Response promise rejected: ' + reason); grecaptcha.enterprise.ready(function () { document.getElementById("execute-button").onclick = () => { grecaptcha.enterprise.execute('ACTION_TOKEN_KEY', { }).then(onSuccess, onError); }; }); } </script>
session-token
在评估后,reCAPTCHA JavaScript 会在最终用户的浏览器上将 reCAPTCHA 会话令牌设置为 Cookie。只要 reCAPTCHA JavaScript 保持活跃状态,最终用户的浏览器就会附加该 Cookie 并刷新该 Cookie。
如需以 Cookie 形式提供会话令牌,请在至少其中一个最终用户在访问需要保护的网页之前浏览的网页上安装会话令牌密钥。例如,如果您想保护结账页面,请在首页或商品页面上安装会话令牌密钥。
如需了解如何在网页上安装会话令牌密钥,请参阅将基于得分的密钥与前端集成。
您可以使用此 Cookie 保护在特定网域中最终用户的后续请求和页面加载。会话令牌的有效期默认为 30 分钟。但是,如果最终用户留在实现会话令牌的页面上,reCAPTCHA 会定期刷新会话令牌以防止它过期。
在需要受 reCAPTCHA 保护的每个页面上安装会话令牌。建议您使用 reCAPTCHA 保护每个网页,并使用 Google Cloud Armor 规则强制实施对所有网页(最终用户浏览的第一页除外)的访问权限。
下面是一个 reCAPTCHA 会话令牌示例:recaptcha-ca-t=value-of-your-session-token;domain=domain;expires=expiration_time
如需实现 reCAPTCHA 会话令牌,请执行以下操作:
- 为您的网站创建会话令牌密钥。
gcloud
如需创建 reCAPTCHA 键,请使用 gcloud recaptcha keys create 命令。
在使用下面的命令数据之前,请先进行以下替换:
- DISPLAY_NAME:密钥的名称。通常是网站名称。
- INTEGRATION_TYPE:集成类型。
指定
score。 - DOMAIN_NAME:获准使用该密钥的网站的网域或子网域。
以英文逗号分隔的列表形式指定多个网域。可选:指定
--allow-all-domains以停用域名验证。停用域名验证是一项安全风险,因为网站不受限制,因此任何人都可以访问和使用 reCAPTCHA 密钥。
- WAF_FEATURE:WAF 功能的名称。
指定
session-token。 - WAF_SERVICE:WAF 服务提供商的名称。
为“快速”指定
fastly。
执行 gcloud recaptcha keys create 命令:
Linux、macOS 或 Cloud Shell
gcloud recaptcha keys create \ --web \ --display-name=DISPLAY_NAME \ --integration-type=INTEGRATION_TYPE \ --domains=DOMAIN_NAME \ --waf-feature=WAF_FEATURE \ --waf-service=WAF_SERVICE
Windows (PowerShell)
gcloud recaptcha keys create ` --web ` --display-name=DISPLAY_NAME ` --integration-type=INTEGRATION_TYPE ` --domains=DOMAIN_NAME ` --waf-feature=WAF_FEATURE ` --waf-service=WAF_SERVICE
Windows (cmd.exe)
gcloud recaptcha keys create ^ --web ^ --display-name=DISPLAY_NAME ^ --integration-type=INTEGRATION_TYPE ^ --domains=DOMAIN_NAME ^ --waf-feature=WAF_FEATURE ^ --waf-service=WAF_SERVICE
响应中包含新创建的 reCAPTCHA 密钥。
REST
如需了解密钥类型和集成类型的 API 参考信息,请参阅密钥和集成类型。在使用任何请求数据之前,请先进行以下替换:
- DISPLAY_NAME:密钥的名称。通常是网站名称。
- INTEGRATION_TYPE:集成类型。
指定
score。 - DOMAIN_NAME:获准使用该密钥的网站的网域或子网域。
以英文逗号分隔的列表形式指定多个网域。可选:指定
--allow-all-domains以停用域名验证。停用域名验证是一项安全风险,因为网站不受限制,因此任何人都可以访问和使用 reCAPTCHA 密钥。
- WAF_FEATURE:WAF 功能的名称。
指定
session-token。 - WAF_SERVICE:WAF 服务提供商的名称。
为“快速”指定
fastly。
HTTP 方法和网址:
POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys
请求 JSON 正文:
{ "displayName": "DISPLAY_NAME", 'wafSettings': " { "wafService": "WAF_SERVICE", "wafFeature": "WAF_FEATURE" } "webSettings": { "allowedDomains": "DOMAINS", "integrationType": "TYPE_OF_INTEGRATION" } }如需发送请求,请选择以下方式之一:
curl
将请求正文保存在名为
request.json的文件中,然后执行以下命令:curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"PowerShell
将请求正文保存在名为
request.json的文件中,然后执行以下命令:$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content您应该收到类似以下内容的 JSON 响应:
{ "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m", "displayName": "DISPLAY_NAME, "webSettings": { "allowAllDomains": true, "allowedDomains": [ "localhost" ], "integrationType": "SCORE", }, "wafSettings": { "wafService": "fastly", "wafFeature": "SESSION_TOKEN" } }记录您的会话令牌密钥以备后用。
-
将会话令牌密钥和
waf=session添加到 reCAPTCHA JavaScript。以下示例脚本展示了如何在网页上实现会话令牌:
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>reCAPTCHA WAF Session Token</title> <script src="https://www.google.com/recaptcha/enterprise.js?render=SESSION_TOKEN_KEY&waf=session" async defer></script> <body></body> </head> </html>
challenge-page
实现 reCAPTCHA 质询页面后,reCAPTCHA 会重定向到插页式页面,在该页面中,reCAPTCHA 会确定是否有必要向用户显示人机识别系统质询。因此,并非所有用户都可以看到人机识别系统质询。
如需实现 reCAPTCHA 质询页面,请执行以下操作:
- 为您的网站创建挑战页密钥。
gcloud
如需创建 reCAPTCHA 键,请使用 gcloud recaptcha keys create 命令。
在使用下面的命令数据之前,请先进行以下替换:
- DISPLAY_NAME:密钥的名称。通常是网站名称。
- INTEGRATION_TYPE:集成类型。
指定
invisible。 - DOMAIN_NAME:获准使用该密钥的网站的网域或子网域。
指定
--allow-all-domains。 - WAF_FEATURE:WAF 功能的名称。
指定
challenge-page。 - WAF_SERVICE:WAF 服务提供商的名称。
为“快速”指定
fastly。
执行 gcloud recaptcha keys create 命令:
Linux、macOS 或 Cloud Shell
gcloud recaptcha keys create \ --web \ --display-name=DISPLAY_NAME \ --integration-type=INTEGRATION_TYPE \ --domains=DOMAIN_NAME \ --waf-feature=WAF_FEATURE \ --waf-service=WAF_SERVICE
Windows (PowerShell)
gcloud recaptcha keys create ` --web ` --display-name=DISPLAY_NAME ` --integration-type=INTEGRATION_TYPE ` --domains=DOMAIN_NAME ` --waf-feature=WAF_FEATURE ` --waf-service=WAF_SERVICE
Windows (cmd.exe)
gcloud recaptcha keys create ^ --web ^ --display-name=DISPLAY_NAME ^ --integration-type=INTEGRATION_TYPE ^ --domains=DOMAIN_NAME ^ --waf-feature=WAF_FEATURE ^ --waf-service=WAF_SERVICE
响应中包含新创建的 reCAPTCHA 密钥。
REST
如需了解密钥类型和集成类型的 API 参考信息,请参阅密钥和集成类型。在使用任何请求数据之前,请先进行以下替换:
- DISPLAY_NAME:密钥的名称。通常是网站名称。
- INTEGRATION_TYPE:集成类型。
指定
invisible。 - DOMAIN_NAME:获准使用该密钥的网站的网域或子网域。
指定
--allow-all-domains。 - WAF_FEATURE:WAF 功能的名称。
指定
challenge-page。 - WAF_SERVICE:WAF 服务提供商的名称。
为“快速”指定
fastly。
HTTP 方法和网址:
POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys
请求 JSON 正文:
{ "displayName": "DISPLAY_NAME", 'wafSettings': " { "wafService": "WAF_SERVICE", "wafFeature": "WAF_FEATURE" } "webSettings": { "allowedDomains": "DOMAINS", "integrationType": "TYPE_OF_INTEGRATION" } }如需发送请求,请选择以下方式之一:
curl
将请求正文保存在名为
request.json的文件中,然后执行以下命令:curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"PowerShell
将请求正文保存在名为
request.json的文件中,然后执行以下命令:$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content您应该收到类似以下内容的 JSON 响应:
{ "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m", "displayName": "DISPLAY_NAME, "webSettings": { "allowAllDomains": true, "allowedDomains": [ "localhost" ], "integrationType": "INVISIBLE", }, "wafSettings": { "wafService": "fastly", "wafFeature": "CHALLENGE_PAGE" } }记录您的质询页面密钥以备后用。
- 如需将用户重定向到 reCAPTCHA 质询页面并接收 reCAPTCHA 令牌,请在受保护的网页上创建防火墙政策,并为其添加
redirect操作。
快速
如需实现 reCAPTCHA 极速验证,请创建极速验证密钥。
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
-
gcloud
如需创建 reCAPTCHA 键,请使用 gcloud recaptcha keys create 命令。
在使用下面的命令数据之前,请先进行以下替换:
- DISPLAY_NAME:密钥的名称。通常是网站名称。
- WAF_SERVICE:WAF 服务提供商的名称。
为“快速”指定
fastly。
执行 gcloud recaptcha keys create 命令:
Linux、macOS 或 Cloud Shell
gcloud recaptcha keys create \ --express \ --display-name=DISPLAY_NAME \ --waf-service=WAF_SERVICE
Windows (PowerShell)
gcloud recaptcha keys create ` --express ` --display-name=DISPLAY_NAME ` --waf-service=WAF_SERVICE
Windows (cmd.exe)
gcloud recaptcha keys create ^ --express ^ --display-name=DISPLAY_NAME ^ --waf-service=WAF_SERVICE
响应中包含新创建的 reCAPTCHA 密钥。
REST
如需了解密钥类型和集成类型的 API 参考信息,请参阅密钥和集成类型。在使用任何请求数据之前,请先进行以下替换:
- DISPLAY_NAME:密钥的名称。通常是网站名称。
- WAF_SERVICE:WAF 服务提供商的名称。
为“快速”指定
fastly。
HTTP 方法和网址:
POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys
请求 JSON 正文:
{ "displayName": "DISPLAY_NAME", 'wafSettings': " { "wafService": "WAF_SERVICE", }如需发送请求,请选择以下方式之一:
curl
将请求正文保存在名为
request.json的文件中,然后执行以下命令:curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"PowerShell
将请求正文保存在名为
request.json的文件中,然后执行以下命令:$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content您应该收到类似以下内容的 JSON 响应:
{ "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m", "displayName": "DISPLAY_NAME, }, "wafSettings": { "wafService": "fastly", } }记录您的极速密钥以备后用。
创建 reCAPTCHA 防火墙政策
您必须创建防火墙政策,为您要保护的网站上的每个网页指定规则。您可以使用 reCAPTCHA for WAF 的一项或多项功能创建防火墙政策。
在 reCAPTCHA 防火墙政策中,按预期的优先级顺序添加规则。第 1 条规则的顺序最高。您还可以使用 ReorderFirewallPoliciesRequest 重新排列优先级。对于传入请求,如果政策条件与指定路径匹配,您的 WAF 服务提供商会实现定义的操作,系统不会评估后续规则。
- 根据您选择的功能,执行以下操作:
- 确定要保护的路径。
- 确定允许、重定向或屏蔽访问的条件。
- 排定规则的优先顺序。
- 了解防火墙政策组件及其属性。
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
- 如需替换 gcloud CLI 以访问 reCAPTCHA API 的公开预览版,请运行以下命令:
gcloud config set api_endpoint_overrides/recaptchaenterprise https://public-preview-recaptchaenterprise.googleapis.com/ - 如需创建 reCAPTCHA 防火墙政策,请使用 gcloud recaptcha firewall-policies create 命令:
在 reCAPTCHA 防火墙政策中,按预期的优先级顺序添加规则。您必须先添加优先级最高的规则。对于传入请求,如果政策条件与指定路径匹配,您的 WAF 服务提供商会实现定义的操作,系统不会评估后续规则。默认规则是允许访问。
gcloud recaptcha firewall-policies create \ --actions=ACTION \ --condition=CONDITION \ --description=DESCRIPTION \ --path=PATH请提供以下值:
- ACTION:您的 WAF 服务提供商必须针对传入请求执行的操作。它最多只能包含一个终端操作,即强制响应的操作。
指定以下其中一项操作:
allow:允许访问请求的网页。这是终止性操作。block:拒绝对请求的网页的访问权限。这是终止性操作。redirect:将传入的用户请求重定向到 reCAPTCHA 质询页面。 这是终止性操作。substitute:针对欺诈性用户请求提供的页面与请求的页面不同。这是终止性操作。set_header:设置自定义标头,并允许传入的用户请求继续传递到后端。然后,后端可以触发自定义保护措施。这是一个非终止操作。
- CONDITION:一个 CEL(通用表达式语言) 条件表达式,用于指定 reCAPTCHA 防火墙政策是否适用于传入的用户请求。如果此条件的求值结果为 true,并且请求的路径与路径模式匹配,则 WAF 服务提供商会执行关联的操作。在创建时,系统会检查条件字符串的 CEL 语法是否正确。如需详细了解语言定义,请参阅 CEL 语言定义。
- DESCRIPTION:对 reCAPTCHA 防火墙政策旨在实现的目标的说明。说明不得超过 256 个 UTF-8 字符。
- PATH:适用于 reCAPTCHA 防火墙政策的路径。 必须将其指定为全局通配模式。如需详细了解 glob,请参阅手册页面。
成功执行该命令后,系统会显示类似以下内容的输出:
Created [100].以下示例创建了 reCAPTCHA 防火墙政策,以便在得分低于 0.1 时屏蔽目标为
/example/page.html的流量。gcloud recaptcha firewall-policies create \ --description="example policy" \ --path="/example/page.html" \ --condition="recaptcha.score < 0.1" \ --actions="block" - ACTION:您的 WAF 服务提供商必须针对传入请求执行的操作。它最多只能包含一个终端操作,即强制响应的操作。
指定以下其中一项操作:
与 Fastly 计算服务集成
如需使用 reCAPTCHA 防火墙政策,您必须设置 Fastly 计算服务来拦截和处理请求。
您可以创建和配置新的计算服务,也可以通过串联将 reCAPTCHA 防火墙政策与现有 Fastly 服务集成。如果您想使用链接,则 reCAPTCHA 服务必须是上游最远的 Fastly 服务或其他代理,以便正确检测 IP 地址。
如需创建计算服务,您必须具备以下信息:
- 您的域名
- 适用于 FASTLY 的 reCAPTCHA 软件包(ZIP 格式)
- 后端服务器的来源名称
- reCAPTCHA 后端服务器的来源名称:
Recaptcha Enterprise - Google 后端服务器的源名称:
Google - 您为进行身份验证而创建的 API 密钥
- 您的 Google Cloud 项目 ID
- 您为 WAF 功能创建的 reCAPTCHA 密钥
如需设置采用 reCAPTCHA 防火墙政策的 Fastly 服务,请执行以下操作:
- 登录 Fastly。
如需创建计算服务,请按照创建新的计算服务中的说明操作。
创建计算服务时,请执行以下操作:
如需为 reCAPTCHA 后端服务器创建来源,请指定以下值:
- 来源名称 = Recaptcha Enterprise
- 源服务器的 IP 地址(或主机名)= public-preview-recaptchaenterprise.googleapis.com
如需为 Google 后端服务器创建源,请指定以下值:
- 来源名称 = Google
- 源服务器的 IP 地址(或主机名)= www.google.com:443
如需为后端服务器创建源,请指定以下值:
- 来源的名称 = 后端服务器的任何有意义的名称。
- 源服务器的 IP 地址(或主机名)= 后端服务器的主机名。
上传适用于 Fastly
recaptcha_fastly_client_0.1.0.tar.gz的 reCAPTCHA 软件包。创建一个名为
recaptcha的新 ConfigStore,并添加以下键值对:键 值 api_key 您为进行身份验证而创建的 API 密钥。 project_number 您的 Google Cloud 项目 ID。 action_site_key reCAPTCHA WAF 操作令牌密钥。如果您使用操作令牌保护网页,则必须提供此密钥。 session_site_key reCAPTCHA WAF 会话令牌密钥。如果您使用会话令牌来保护网页,则必须提供此密钥。 challengepage_site_key reCAPTCHA WAF 质询页面密钥。如果您要使用 reCAPTCHA 质询页面保护网页,则必须使用此密钥。 express_site_key reCAPTCHA 极速验证密钥。如果您使用 reCAPTCHA 极速版保护网页,则必须提供此密钥。 recaptcha_js_install_path 您希望 reCAPTCHA WAF 插件使用会话令牌密钥在其中安装 reCAPTCHA JavaScript 的网页的网址。将路径指定为 [正则表达式](https://man7.org/linux/man-pages/man7/glob.7.html),并使用 `;` 作为分隔符。此选项仅适用于 reCAPTCHA 会话令牌。