Dieses Dokument bietet eine Übersicht über die reCAPTCHA-Firewallrichtlinien.
Eine reCAPTCHA-Firewallrichtlinie ist ein Satz von Regeln, die Bedingungsattributen entsprechen, um Ihre Website vor Spam und Missbrauch zu schützen. Jede Regel wird hinsichtlich des eingehenden Traffics ausgewertet. Die Regeln werden in der gleichen Reihenfolge ausgewertet, in der sie der Richtlinie hinzugefügt werden.
Komponenten der reCAPTCHA-Firewallrichtlinie
Eine Regel für eine reCAPTCHA-Firewallrichtlinie besteht aus den folgenden Komponenten:
path
: ein URL-Pfad, für den die Regel der Firewallrichtlinie gilt. Beispiel:/login
condition
: Eine Richtlinienbedingung. Eine Richtlinienbedingung ist ein CEL-Ausdruck (Common Expression Language), der in einen booleschen Wert aufgelöst werden muss. Beispiel:recaptcha.score >= 0.5
.action
: Eine Aktion, die Ihr WAF-Dienstanbieter ausführen muss, wenn die Richtlinienbedingung erfüllt ist. Weitere Informationen finden Sie unter Richtlinienaktionen.
Wenn eine eingehende Anfrage einer Richtlinienbedingung für den angegebenen Pfad entspricht, lässt Ihr WAF-Dienstanbieter die Anfrage basierend auf der angegebenen Aktion zu, blockiert sie oder leitet sie weiter. Die Standardregel ist das Zulassen des Zugriffs.
Beispiel für eine reCAPTCHA-Firewallrichtlinie
Das folgende Beispiel für eine reCAPTCHA-Firewallrichtlinie enthält eine Regel, die auf die Aktion login
angewendet wird. Der Zugriff wird bei einem Wert unter 0,5 blockiert.
policy {
path: login.php
condition: recaptcha.score < 0.5
action: block
}
Bedingungsattribute für reCAPTCHA-Firewallrichtlinien
In der folgenden Tabelle sind reCAPTCHA-Tokenattribute aufgeführt, mit denen Sie Bedingungen in Ihren reCAPTCHA-Firewallrichtlinien definieren können.
Attributname | Datentyp | Beschreibung |
---|---|---|
recaptcha.token.valid |
boolean | Gibt an, ob das empfangene Token gültig ist. Ein Token ist gültig, wenn es nicht fehlerhaft formatiert oder abgelaufen ist, auch wenn die Punktzahl niedrig ist. |
recaptcha.token.action |
String | Der Aktionsname, der bei der Tokengenerierung angegeben wurde.
Wird nur für Aktionstokens ausgefüllt. Dies ist der Parameter action , der beim Erstellen des Tokens an grecaptcha.enterprise.execute() übergeben wird.
Weitere Informationen finden Sie unter Aktionsnamen.
|
recaptcha.score |
float | Die Punktzahl aus einem reCAPTCHA-Token. Ein gültiger Wert liegt zwischen 0,0 und 1,0. Der Wert 1,0 bedeutet, dass die Interaktion ein geringes Risiko aufweist und wahrscheinlich legitim ist. 0,0 bedeutet, dass die Interaktion ein hohes Risiko birgt und möglicherweise betrügerisch ist. Weitere Informationen finden Sie unter Punktzahlen interpretieren. |
recaptcha.assessment_type |
integer | Die Art der durchgeführten Bewertung. assessment_type wird gemäß dem reCAPTCHA-Schlüssel für WAF festgelegt, der mit der Anfrage übergeben wird.
Verwenden Sie eine der folgenden Konstanten, um den Wert von
AssessmentType.ACTION .
|
http.ip |
String | Die IP-Adresse der eingehenden Anfrage. |
http.path |
String | Der Pfad des Anfrage-URI. |
http.domain |
String | Die Domain des angeforderten URI. |
Aktionen für reCAPTCHA-Firewallrichtlinien
In der folgenden Tabelle sind die verschiedenen Richtlinienaktionen aufgeführt, die Sie in den Regeln der reCAPTCHA-Firewallrichtlinie angeben können:
Richtlinienaktion | Beschreibung | Ergebnis der Aktion |
---|---|---|
allow |
Gewährt Zugriff auf die angeforderte Seite. | Die eingehende Nutzeranfrage an Ihr Backend wird nicht unterbrochen. |
block |
Der Zugriff auf die angeforderte Seite wird verweigert. | Der HTTP-Fehler 403 (unzulässig) wird an den Nutzer zurückgegeben. |
redirect |
Leitet die eingehende Nutzeranfrage auf die reCAPTCHA-Abfrageseite weiter. | Auf der reCAPTCHA-Abfrageseite wird die Nutzeranfrage ausgewertet und basierend auf der Bewertung ein Cookie angehängt. Später wird die Nutzeranfrage wieder zur ursprünglichen Seite weitergeleitet. |
substitute |
Stellt bei betrügerischen Nutzeranfragen eine andere Seite als die angeforderte Seite bereit. | Der angeforderte Pfad wird beim Senden der Anfrage an Ihr Back-End durch einen anderen Pfad ersetzt. Der Nutzer sieht weiterhin die ursprüngliche URL. |
set_header |
Legt einen benutzerdefinierten Header fest und ermöglicht, dass die eingehende Nutzeranfrage zum Back-End weitergeleitet wird. Das Backend kann dann einen benutzerdefinierten Schutz auslösen. | An die Nutzeranfrage ist ein Header angehängt. Ihr Backend verwendet diesen Header, um eine benutzerdefinierte Schutzmaßnahme oder Analyse auszulösen. |