與網站適用的 Google Cloud Armor 整合

本文說明如何在網站上整合 Cloud Armor 適用的 reCAPTCHA。

如要完成整合,請導入一或多項 reCAPTCHA for Cloud Armor 功能,並設定 Cloud Armor 安全性政策。

事前準備

  1. 啟用 reCAPTCHA Enterprise API。

    Enable the API

  2. 規劃如何導入 reCAPTCHA for Cloud Armor 的功能,以保護您的網站。

    1. 選擇一或多項最符合您用途的網路應用程式防火牆功能
    2. 找出要保護的網頁,以及要在這些網頁上實作的 Cloud Armor 功能類型。

導入 reCAPTCHA for Cloud Armor 的功能

您可以根據需求,在單一應用程式中使用一或多項 reCAPTCHA for Cloud Armor 功能。

如要使用多項功能,請為每項功能建立 reCAPTCHA 金鑰,並在應用程式中使用。舉例來說,如果您想使用 reCAPTCHA 動作符記和 reCAPTCHA 驗證頁面,就必須建立動作符記金鑰和驗證頁面金鑰,並在應用程式中使用這些金鑰。

實作 reCAPTCHA 動作權杖

您必須在網頁上執行 reCAPTCHA,才能產生動作符記。 reCAPTCHA 產生動作權杖後,您可以在需要保護任何使用者動作 (例如 checkout) 的位置,將動作權杖附加至預先定義的要求標頭。根據預設,動作權杖的效期為 30 分鐘,但可能會因流量而異。 您必須在權杖過期前,將動作權杖附加至預先定義的要求標頭,Cloud Armor 才能評估權杖屬性。

如要實作 reCAPTCHA 動作權杖,請按照下列步驟操作:

  1. 為網站建立動作符記金鑰。 <0

    Cloud 控制台

    1. 前往 Google Cloud 控制台的「reCAPTCHA」reCAPTCHA頁面。

      前往 reCAPTCHA

    2. 確認頁面頂端的資源選取器中顯示了專案名稱。

      如果沒有看到專案名稱,請按一下資源選取器,然後選取專案。

    3. 按一下「建立金鑰」
    4. 在「顯示名稱」欄位中,輸入金鑰的顯示名稱。
    5. 視要為 WAF 建立 reCAPTCHA 金鑰的平台而定,請執行適當的動作:
      1. 在「Application type」部分,選取「Web」

        系統會顯示「網域清單」部分。

      2. 如要保護網域和子網域的 reCAPTCHA 金鑰,請務必關閉「停用網域驗證」切換鈕。

        停用網域驗證功能會造成安全風險,因為網站沒有任何限制,任何人都能存取及使用 reCAPTCHA 金鑰。

      3. 輸入網站的網域名稱:

        1. 在「網域清單」部分,按一下「新增網域」
        2. 在「網域」欄位中,輸入網域名稱。

        3. 選用:如要新增其他網域,請按一下「新增網域」,然後在「網域」欄位中輸入其他網域名稱。最多可新增 250 個網域。

          如果是網站,reCAPTCHA 金鑰是您指定的網域和子網域專屬的金鑰。如果網站是從多個網域提供服務,您可以指定多個網域。 如果您指定網域 (例如 examplepetstore.com),就不必指定子網域 (例如 subdomain.examplepetstore.com)。

      4. 在「其他設定」中,開啟「您是否要在網頁應用程式防火牆 (WAF) 中部署這個金鑰?」切換鈕。

      5. 在「功能」選項中,選取「動作」

      6. 選用:開啟「您會使用驗證問題嗎?」切換鈕。

      7. 按一下 [Create key] (建立金鑰)

        8. 新建立的金鑰會列在「reCAPTCHA keys」(reCAPTCHA 金鑰) 頁面。

    gcloud

    如要建立 reCAPTCHA 金鑰,請使用 gcloud recaptcha keys create 指令。

    使用下列任何指令資料之前,請先替換以下項目:

    • INTEGRATION_TYPE:整合類型。 指定 scorecheckbox
    • DISPLAY_NAME:金鑰名稱。通常是網站名稱。
    • DOMAIN_NAME:允許使用金鑰的網站網域或子網域。

      以逗號分隔清單的形式指定多個網域。 選用:指定 --allow-all-domains 停用網域驗證。

      停用網域驗證功能會造成安全風險,因為網站沒有任何限制,任何人都能存取及使用 reCAPTCHA 金鑰。

    • WAF_FEATURE:網路應用程式防火牆功能的名稱。 指定 action-token
    • WAF_SERVICE:網路應用程式防火牆服務供應商的名稱。為 Cloud Armor 指定 CA

    執行 gcloud recaptcha keys create 指令:

    Linux、macOS 或 Cloud Shell

    gcloud recaptcha keys create \
--web \
--display-name=DISPLAY_NAME  \
--integration-type=INTEGRATION_TYPE \
--domains=DOMAIN_NAME \
--waf-feature=WAF_FEATURE \
--waf-service=WAF_SERVICE

    Windows (PowerShell)

    gcloud recaptcha keys create `
--web `
--display-name=DISPLAY_NAME  `
--integration-type=INTEGRATION_TYPE `
--domains=DOMAIN_NAME `
--waf-feature=WAF_FEATURE `
--waf-service=WAF_SERVICE

    Windows (cmd.exe)

    gcloud recaptcha keys create ^
--web ^
--display-name=DISPLAY_NAME  ^
--integration-type=INTEGRATION_TYPE ^
--domains=DOMAIN_NAME ^
--waf-feature=WAF_FEATURE ^
--waf-service=WAF_SERVICE

    回應包含新建立的 reCAPTCHA 金鑰。

    REST

    如要查看金鑰類型和整合類型的 API 參考資訊,請參閱「金鑰」和「整合類型」。

    使用任何要求資料之前,請先替換以下項目:

    • INTEGRATION_TYPE:整合類型。 指定 scorecheckbox
    • DISPLAY_NAME:金鑰名稱。通常是網站名稱。
    • DOMAIN_NAME:允許使用金鑰的網站網域或子網域。

      以逗號分隔清單的形式指定多個網域。 選用:指定 --allow-all-domains 停用網域驗證。

      停用網域驗證功能會造成安全風險,因為網站沒有任何限制,任何人都能存取及使用 reCAPTCHA 金鑰。

    • WAF_FEATURE:網路應用程式防火牆功能的名稱。 指定 action-token
    • WAF_SERVICE:網路應用程式防火牆服務供應商的名稱。為 Cloud Armor 指定 CA
    • DEFAULT_SCORE_THRESHOLD:如果是以政策為準的驗證問題金鑰,這會定義金鑰的通用驗證問題門檻 (未定義自訂分數門檻時)。這項功能目前為預先發布版
    • ACTION_SCORE_THRESHOLDS:如果是以政策為準的驗證金鑰,這會指定動作和對應的門檻分數 (介於 0.0 和 1.0 之間)。例如,login='{"scoreThreshold": "0.3"}',signup='{"scoreThreshold": "0.1"}'。這項功能目前為預先發布版

    HTTP 方法和網址:

    POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

    JSON 要求主體:

    
{
  "displayName": "DISPLAY_NAME",
   'wafSettings': "  {
       "wafService": "WAF_SERVICE",
  
"wafFeature": "WAF_FEATURE"
  }
  "webSettings": {
    "allowedDomains": "DOMAINS",
    "integrationType": "INTEGRATION_TYPE"
   }
   
}

    如要傳送要求,請選擇以下其中一個選項:

    curl

    將要求主體儲存在名為 request.json 的檔案中,然後執行下列指令:

    curl -X POST \
         -H "Authorization: Bearer $(gcloud auth print-access-token)" \
         -H "Content-Type: application/json; charset=utf-8" \
         -d @request.json \
         "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

    PowerShell

    將要求主體儲存在名為 request.json 的檔案中,然後執行下列指令:

    $cred = gcloud auth print-access-token
    $headers = @{ "Authorization" = "Bearer $cred" }

    Invoke-WebRequest `
        -Method POST `
        -Headers $headers `
        -ContentType: "application/json; charset=utf-8" `
        -InFile request.json `
        -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

    您應該會收到如下的 JSON 回應:

    
{
  "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m",
"displayName": "DISPLAY_NAME,

"webSettings": {
  "allowAllDomains": true,
  "allowedDomains": [
    "localhost"
  ],

 "integrationType": "SCORE",


},
"wafSettings": {
  "wafService": "CA",

  "wafFeature": "ACTION_TOKEN"
  

}
}

  2. 在網頁中整合 reCAPTCHA JavaScript,並使用您建立的動作權杖金鑰。如需操作說明,請參閱與動作權杖金鑰整合類型相應的文件。

  3. 從 reCAPTCHA 收到權杖後,請將權杖附加至預先定義的要求標頭,格式如下: 

     X-Recaptcha-Token: value-of-your-action-token

    您可以使用 XHR、Ajax 或 Fetch API 等語言,將權杖附加至預先定義的要求標頭。

    下列範例指令碼說明如何保護 execute 動作,並使用 JavaScript + XHR 將權杖附加至預先定義的要求標頭:

      
  <script>
    src="https://www.google.com/recaptcha/enterprise.js?render=ACTION_TOKEN_KEY"></script>

    <script>
    function onSuccess(action_token) {
         const xhr = new XMLHttpRequest();
         xhr.open('GET','YOUR_URL', false);
         // Attach the action-token to the predefined request header
         xhr.setRequestHeader("X-Recaptcha-Token", action_token);
         xhr.send(null);
       }
       function onError(reason) {
         alert('Response promise rejected: ' + reason);
       grecaptcha.enterprise.ready(function () {
         document.getElementById("execute-button").onclick = () => {
           grecaptcha.enterprise.execute('ACTION_TOKEN_KEY', {
           }).then(onSuccess, onError);
         };
       });
      }
    </script>

實作 reCAPTCHA 工作階段符記

評估完成後,reCAPTCHA JavaScript 會在使用者瀏覽器上,將 reCAPTCHA 工作階段權杖設為 Cookie。只要 reCAPTCHA JavaScript 保持啟用狀態,使用者瀏覽器就會附加 Cookie 並重新整理 Cookie。

如要以 Cookie 形式提供工作階段權杖,請在至少一個網頁上安裝工作階段權杖金鑰,使用者必須先瀏覽這些網頁,才能瀏覽需要保護的網頁。舉例來說,如要保護結帳頁面,請在首頁或產品頁面安裝工作階段權杖金鑰。

如要瞭解如何在網頁上安裝工作階段權杖金鑰,請參閱整合前端與評分機制金鑰

您可以使用這個 Cookie,保護特定網域中後續的使用者要求和網頁載入作業。工作階段符記的預設效期為 30 分鐘。不過,如果使用者停留在您導入工作階段符記的網頁,reCAPTCHA 會定期重新整理工作階段符記,避免符記過期。

在需要 reCAPTCHA 保護的每個網頁上安裝工作階段符記。 建議您使用 reCAPTCHA 保護每個網頁,並透過 Cloud Armor 規則,在使用者瀏覽的第一個網頁以外的所有網頁上強制執行存取權。

以下是 reCAPTCHA 工作階段權杖範例: 
   recaptcha-ca-t=value-of-your-session-token;domain=domain;expires=expiration_time

如要實作 reCAPTCHA 工作階段權杖,請按照下列步驟操作:

  1. 為網站建立工作階段符記金鑰。 <

    Cloud 控制台

    1. 前往 Google Cloud 控制台的「reCAPTCHA」reCAPTCHA頁面。

      前往 reCAPTCHA

    2. 確認頁面頂端的資源選取器中顯示了專案名稱。

      如果沒有看到專案名稱,請按一下資源選取器,然後選取專案。

    3. 按一下「建立金鑰」
    4. 在「顯示名稱」欄位中,輸入金鑰的顯示名稱。
    5. 視要為 WAF 建立 reCAPTCHA 金鑰的平台而定,請執行適當的動作:
      1. 在「Application type」部分,選取「Web」

        系統會顯示「網域清單」部分。

      2. 如要保護網域和子網域的 reCAPTCHA 金鑰,請務必關閉「停用網域驗證」切換鈕。

        停用網域驗證功能會造成安全風險,因為網站沒有任何限制,任何人都能存取及使用 reCAPTCHA 金鑰。

      3. 輸入網站的網域名稱:

        1. 在「網域清單」部分,按一下「新增網域」
        2. 在「網域」欄位中,輸入網域名稱。

        3. 選用:如要新增其他網域,請按一下「新增網域」,然後在「網域」欄位中輸入其他網域名稱。最多可新增 250 個網域。

          如果是網站,reCAPTCHA 金鑰是您指定的網域和子網域專屬的金鑰。如果網站是從多個網域提供服務,您可以指定多個網域。 如果您指定網域 (例如 examplepetstore.com),就不必指定子網域 (例如 subdomain.examplepetstore.com)。

      4. 在「其他設定」中,開啟「您是否要在網頁應用程式防火牆 (WAF) 中部署這個金鑰?」切換鈕。

      5. 在「功能」選項中,選取「工作階段」

      6. 選用:開啟「停用網域驗證」

        停用網域驗證功能會造成安全風險,因為網站沒有任何限制,任何人都能存取及使用 reCAPTCHA 金鑰。

      7. 按一下 [Create key] (建立金鑰)

        8. 新建立的金鑰會列在「reCAPTCHA keys」(reCAPTCHA 金鑰) 頁面。

    gcloud

    如要建立 reCAPTCHA 金鑰,請使用 gcloud recaptcha keys create 指令。

    使用下列任何指令資料之前,請先替換以下項目:

    • INTEGRATION_TYPE:整合類型。 指定 score
    • DISPLAY_NAME:金鑰名稱。通常是網站名稱。
    • DOMAIN_NAME:允許使用金鑰的網站網域或子網域。

      以逗號分隔清單的形式指定多個網域。 選用:指定 --allow-all-domains 停用網域驗證。

      停用網域驗證功能會造成安全風險,因為網站沒有任何限制,任何人都能存取及使用 reCAPTCHA 金鑰。

    • WAF_FEATURE:網路應用程式防火牆功能的名稱。 指定 session-token
    • WAF_SERVICE:網路應用程式防火牆服務供應商的名稱。為 Cloud Armor 指定 CA

    執行 gcloud recaptcha keys create 指令:

    Linux、macOS 或 Cloud Shell

    gcloud recaptcha keys create \
--web \
--display-name=DISPLAY_NAME  \
--integration-type=INTEGRATION_TYPE \
--domains=DOMAIN_NAME \
--waf-feature=WAF_FEATURE \
--waf-service=WAF_SERVICE

    Windows (PowerShell)

    gcloud recaptcha keys create `
--web `
--display-name=DISPLAY_NAME  `
--integration-type=INTEGRATION_TYPE `
--domains=DOMAIN_NAME `
--waf-feature=WAF_FEATURE `
--waf-service=WAF_SERVICE

    Windows (cmd.exe)

    gcloud recaptcha keys create ^
--web ^
--display-name=DISPLAY_NAME  ^
--integration-type=INTEGRATION_TYPE ^
--domains=DOMAIN_NAME ^
--waf-feature=WAF_FEATURE ^
--waf-service=WAF_SERVICE

    回應包含新建立的 reCAPTCHA 金鑰。

    REST

    如要查看金鑰類型和整合類型的 API 參考資訊,請參閱「金鑰」和「整合類型」。

    使用任何要求資料之前,請先替換以下項目:

    • INTEGRATION_TYPE:整合類型。 指定 score
    • DISPLAY_NAME:金鑰名稱。通常是網站名稱。
    • DOMAIN_NAME:允許使用金鑰的網站網域或子網域。

      以逗號分隔清單的形式指定多個網域。 選用:指定 --allow-all-domains 停用網域驗證。

      停用網域驗證功能會造成安全風險,因為網站沒有任何限制,任何人都能存取及使用 reCAPTCHA 金鑰。

    • WAF_FEATURE:網路應用程式防火牆功能的名稱。 指定 session-token
    • WAF_SERVICE:網路應用程式防火牆服務供應商的名稱。為 Cloud Armor 指定 CA
    • DEFAULT_SCORE_THRESHOLD:如果是以政策為準的驗證問題金鑰,這會定義金鑰的通用驗證問題門檻 (未定義自訂分數門檻時)。這項功能目前為預先發布版
    • ACTION_SCORE_THRESHOLDS:如果是以政策為準的驗證金鑰,這會指定動作和對應的門檻分數 (介於 0.0 和 1.0 之間)。例如,login='{"scoreThreshold": "0.3"}',signup='{"scoreThreshold": "0.1"}'。這項功能目前為預先發布版

    HTTP 方法和網址:

    POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

    JSON 要求主體:

    
{
  "displayName": "DISPLAY_NAME",
   'wafSettings': "  {
       "wafService": "WAF_SERVICE",
  
"wafFeature": "WAF_FEATURE"
  }
  "webSettings": {
    "allowedDomains": "DOMAINS",
    "integrationType": "INTEGRATION_TYPE"
   }
   
}

    如要傳送要求,請選擇以下其中一個選項:

    curl

    將要求主體儲存在名為 request.json 的檔案中,然後執行下列指令:

    curl -X POST \
         -H "Authorization: Bearer $(gcloud auth print-access-token)" \
         -H "Content-Type: application/json; charset=utf-8" \
         -d @request.json \
         "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

    PowerShell

    將要求主體儲存在名為 request.json 的檔案中,然後執行下列指令:

    $cred = gcloud auth print-access-token
    $headers = @{ "Authorization" = "Bearer $cred" }

    Invoke-WebRequest `
        -Method POST `
        -Headers $headers `
        -ContentType: "application/json; charset=utf-8" `
        -InFile request.json `
        -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

    您應該會收到如下的 JSON 回應:

    
{
  "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m",
"displayName": "DISPLAY_NAME,

"webSettings": {
  "allowAllDomains": true,
  "allowedDomains": [
    "localhost"
  ],

 "integrationType": "SCORE",


},
"wafSettings": {
  "wafService": "CA",

  "wafFeature": "SESSION_TOKEN"


}
}

  2. 將 session-token 金鑰和 waf=session 新增至 reCAPTCHA JavaScript。

    下列範例指令碼說明如何在網頁上導入工作階段權杖:

    <!DOCTYPE html>
<html lang="en">
<head>
 <meta charset="UTF-8">
 <title>reCAPTCHA WAF Session Token</title>
 <script src="https://www.google.com/recaptcha/enterprise.js?render=SESSION_TOKEN_KEY&waf=session" async defer></script>
 <body></body>
</head>
</html>

導入 reCAPTCHA 驗證頁面

導入 reCAPTCHA 驗證頁面時,reCAPTCHA 會重新導向至插頁式廣告,判斷是否需要向使用者顯示人機驗證問題。因此,部分使用者可能不會看到人機驗證問題。

如要導入 reCAPTCHA 驗證頁面,請為網站建立驗證頁面金鑰。

Cloud 控制台

  1. 前往 Google Cloud 控制台的「reCAPTCHA」reCAPTCHA頁面。

    前往 reCAPTCHA

  2. 確認頁面頂端的資源選取器中顯示了專案名稱。

    如果沒有看到專案名稱,請按一下資源選取器,然後選取專案。

  3. 按一下「建立金鑰」
  4. 在「顯示名稱」欄位中,輸入金鑰的顯示名稱。
  5. 視要為 WAF 建立 reCAPTCHA 金鑰的平台而定,請執行適當的動作:
    1. 在「Application type」部分,選取「Web」
    2. 在「其他設定」中,開啟「您是否要在網頁應用程式防火牆 (WAF) 中部署這個金鑰?」切換鈕。

    3. 在「功能」選項中,選取「挑戰」

    4. 開啟「停用網域驗證」

      停用驗證頁面金鑰的網域驗證後,Cloud Armor 會驗證網域。

    5. 按一下 [Create key] (建立金鑰)

      6. 新建立的金鑰會列在「reCAPTCHA keys」(reCAPTCHA 金鑰) 頁面。

gcloud

如要建立 reCAPTCHA 金鑰,請使用 gcloud recaptcha keys create 指令。

使用下列任何指令資料之前,請先替換以下項目:

  • INTEGRATION_TYPE:整合類型。 指定 invisible
  • DISPLAY_NAME:金鑰名稱。通常是網站名稱。
  • DOMAIN_NAME:允許使用金鑰的網站網域或子網域。 指定 --allow-all-domains
  • WAF_FEATURE:網路應用程式防火牆功能的名稱。 指定 challenge-page
  • WAF_SERVICE:網路應用程式防火牆服務供應商的名稱。為 Cloud Armor 指定 CA

執行 gcloud recaptcha keys create 指令:

Linux、macOS 或 Cloud Shell

gcloud recaptcha keys create \
--web \
--display-name=DISPLAY_NAME  \
--integration-type=INTEGRATION_TYPE \
--domains=DOMAIN_NAME \
--waf-feature=WAF_FEATURE \
--waf-service=WAF_SERVICE

Windows (PowerShell)

gcloud recaptcha keys create `
--web `
--display-name=DISPLAY_NAME  `
--integration-type=INTEGRATION_TYPE `
--domains=DOMAIN_NAME `
--waf-feature=WAF_FEATURE `
--waf-service=WAF_SERVICE

Windows (cmd.exe)

gcloud recaptcha keys create ^
--web ^
--display-name=DISPLAY_NAME  ^
--integration-type=INTEGRATION_TYPE ^
--domains=DOMAIN_NAME ^
--waf-feature=WAF_FEATURE ^
--waf-service=WAF_SERVICE

回應包含新建立的 reCAPTCHA 金鑰。

REST

如要查看金鑰類型和整合類型的 API 參考資訊,請參閱「金鑰」和「整合類型」。

使用任何要求資料之前,請先替換以下項目:

  • INTEGRATION_TYPE:整合類型。 指定 invisible
  • DISPLAY_NAME:金鑰名稱。通常是網站名稱。
  • DOMAIN_NAME:允許使用金鑰的網站網域或子網域。 指定 --allow-all-domains
  • WAF_FEATURE:網路應用程式防火牆功能的名稱。 指定 challenge-page
  • WAF_SERVICE:網路應用程式防火牆服務供應商的名稱。為 Cloud Armor 指定 CA
  • DEFAULT_SCORE_THRESHOLD:如果是以政策為準的驗證問題金鑰,這會定義金鑰的通用驗證問題門檻 (未定義自訂分數門檻時)。這項功能目前為預先發布版
  • ACTION_SCORE_THRESHOLDS:如果是以政策為準的驗證金鑰,這會指定動作和對應的門檻分數 (介於 0.0 和 1.0 之間)。例如,login='{"scoreThreshold": "0.3"}',signup='{"scoreThreshold": "0.1"}'。這項功能目前為預先發布版

HTTP 方法和網址:

POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

JSON 要求主體:


{
  "displayName": "DISPLAY_NAME",
   'wafSettings': "  {
       "wafService": "WAF_SERVICE",
  
"wafFeature": "WAF_FEATURE"
  }
  "webSettings": {
    "allowedDomains": "DOMAINS",
    "integrationType": "INTEGRATION_TYPE"
   }
   
}

如要傳送要求,請選擇以下其中一個選項:

curl

將要求主體儲存在名為 request.json 的檔案中,然後執行下列指令:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

PowerShell

將要求主體儲存在名為 request.json 的檔案中,然後執行下列指令:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

您應該會收到如下的 JSON 回應:


{
  "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m",
"displayName": "DISPLAY_NAME,

"webSettings": {
  "allowAllDomains": true,
  "allowedDomains": [
    "localhost"
  ],

  "integrationType": "INVISIBLE",
 

},
"wafSettings": {
  "wafService": "CA",

  "wafFeature": "CHALLENGE_PAGE"
  

}
}

設定 Cloud Armor 安全性政策

導入 reCAPTCHA for Cloud Armor 的功能後,您必須設定 Cloud Armor 安全性政策,才能管理機器人。

如果您實作了 reCAPTCHA 驗證問題頁面,則必須執行下列操作:

  1. 將驗證頁面金鑰與安全政策建立關聯。
  2. 設定安全性政策規則,重新導向 reCAPTCHA 評估要求。

如果您實作了 reCAPTCHA 動作符記或工作階段符記,就必須設定安全性政策規則,評估 reCAPTCHA 符記。

設定 Cloud Armor 安全性政策前,請先瞭解 Cloud Armor 適用的 reCAPTCHA 權杖屬性

如要瞭解如何設定 Cloud Armor 安全性政策,以及如何搭配安全性政策使用 reCAPTCHA for WAF 金鑰,請參閱「設定機器人管理規則」。

取得 reCAPTCHA 分數

如要取得 reCAPTCHA 動作符記和工作階段符記的分數,請查看 X-Recaptcha-Wafdata 標頭。您可以根據這些分數,為使用者要求設定任何需要執行的自訂動作。

以下範例顯示 X-Recaptcha-Wafdata 標頭範例:

X-Recaptcha-Wafdata: waf_service="Google Cloud Armor", action_token;score=0.9, session_token;score=0.8\r\n

您也可以在 Google Cloud Armor 記錄檔中查看 reCAPTCHA 分數。

後續步驟