本文档介绍了 reCAPTCHA 和欺诈防范策略的推荐实现,以防范严重的自动化威胁(针对 Web 应用的 OWASP 自动化威胁 [OAT])。企业架构师和技术利益相关方可以查看这些信息 围绕 reCAPTCHA 做出明智的决策 实施和欺诈缓解策略。
本文档包含每种威胁的以下信息:
reCAPTCHA 的最佳实现。此实现采用了 reCAPTCHA 的相关功能,可提供卓越的防欺诈保护。
reCAPTCHA 的基本实现。此实现旨在提供最低程度的欺诈防范。
建议的欺诈防范策略。
选择最适合您的应用场景的实现和防欺诈策略。 以下因素可能会影响实现和欺诈缓解 策略:
- 组织的反欺诈需求和能力。
- 组织的现有环境。
如需详细了解适用于您的用例的欺诈防范策略,请与我们的销售团队联系。
银行卡
银行卡是一种自动威胁,攻击者会进行多次付款授权 尝试验证批量被盗支付卡数据的有效性。
最低实现
在最终用户需要输入其域名的所有网页上安装复选框网站密钥 信用卡信息。 如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(复选框验证)。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
在最终用户需要输入其 ID 的所有网页上安装基于得分的网站密钥 信用卡信息。在
action参数中指定操作,例如card_entry。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。为您网站上的付款工作流安装 reCAPTCHA。了解如何 付款工作流,请参阅保护付款工作流。
为所有令牌创建评估,并将
expectedAction设置为与action的值匹配 。 如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并将转变为欺诈性购买交易或退款的评估标记为
fraudulent。 如需了解如何为评估添加注解,请参阅为评估添加注解。
欺诈缓解策略
实现 reCAPTCHA 后,请使用以下防范欺诈策略之一,保护您的网站免遭盗刷:
在您的网站上安装 reCAPTCHA 以用于付款工作流。了解如何 付款工作流,请参阅保护付款工作流。
配置 Card Management API 以确保 reCAPTCHA 令牌有效 且分数大于阈值。
如果得分未达到或未超过指定的阈值,请勿运行银行卡授权或允许最终用户使用银行卡。 请尽可能允许交易在购买时继续进行,但稍后取消交易,以免提醒攻击者。
创建评估时,请确保您的评估满足以下成功交易的标准:
- 所有已评估的令牌均有效,且得分大于指定阈值。
expectedAction的值与您在action时指定的 在网页上安装基于得分的网站密钥。 如需了解如何验证操作,请参阅 验证操作。
如果交易不符合这些条件,请勿进行银行卡授权 或允许最终用户使用该卡 如果可能,允许交易在购买时继续,但取消交易 以免受到攻击
破解卡
卡破解是一种自动化威胁,攻击者会尝试不同的值,找出被盗付款卡数据中缺失的开始日期、到期日期和安全码值。
最小实现
在最终用户需要输入其域名的所有网页上安装复选框网站密钥 付款详细信息,包括 checkout 和添加付款方式功能。 如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(复选框验证)。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现方式
在最终用户需要输入其 ID 的所有网页上安装基于得分的网站密钥 付款信息。在
action参数中指定操作,例如checkout或add_pmtmethod。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。在您的网站上安装 reCAPTCHA 以用于付款工作流。了解如何 付款工作流,请参阅保护付款工作流。
为所有令牌创建评估,并将
expectedAction设置为与action的值匹配 。 如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并为变成欺诈行为的评估添加注释 以
fraudulent的身份购买或退款。 如需了解如何为评估添加注释,请参阅为评估添加注释。
欺诈防范策略
实现 reCAPTCHA 后,请使用以下防范欺诈策略之一,保护您的网站免遭盗刷:
为您网站上的付款工作流安装 reCAPTCHA。了解如何 付款工作流,请参阅保护付款工作流。
实现回答模型并创建评估:
创建并实现一个根据得分调整风险的响应模型。
以下示例展示了示例响应模型:
- 对于中低得分阈值 (0.0-0.5),请使用基于情境的风险管理,例如 限制尝试次数,以及阻止超过指定值的购买。
- 对于最高分数阈值 (> 0.5),允许最终用户在不影响 任何挑战。
创建评估时,请确保
expectedAction的值与您在网页上安装基于得分的网站密钥时指定的action的值一致。 如果不匹配,请勿运行卡片授权或允许最终用户使用该卡。 请尽可能允许交易在购买时继续进行,但稍后取消交易,以免提醒攻击者。
凭据破解
凭据破解是一种自动化威胁,攻击者会尝试不同的用户名和密码值,以识别有效的登录凭据。
最小实现
在最终用户需要输入其凭据的所有网页上安装复选框网站密钥。 包括“登录”和“忘记密码”功能。 如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(复选框验证)。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
-
在最终用户需要输入凭据的所有网页上安装基于得分的网站密钥。在
action参数中指定操作,例如login或authenticate。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。 - 建议:针对所有身份验证尝试实施 reCAPTCHA 密码泄露检测。 如需了解如何使用密码泄露检测功能,请参阅检测密码泄露和凭据盗用。
- 可选:如需阻止高流量和低 reCAPTCHA 得分互动,请将 reCAPTCHA 与 Web 应用防火墙 (WAF) 集成。 例如,您可以将 reCAPTCHA 用于 WAF 和 Google Cloud Armor 集成。
- 实现 reCAPTCHA 账号防护工具,以跟踪各次登录的最终用户行为,并接收可能表明账号盗用行为的其他信号。 如需了解如何使用 reCAPTCHA 账号卫士,请参阅检测和防范与账号相关的欺诈活动。
-
为所有令牌创建评估,并将
expectedAction设置为与action的值匹配 。 如需了解如何创建评估,请参阅创建评估。 - 保存所有评估 ID 并为看似欺诈性的评估添加注释, 例如账号盗用 (ATO) 或任何其他欺诈活动。 如需了解如何为评估添加注释,请参阅为评估添加注释。
欺诈防范策略
实现 reCAPTCHA 后,请使用以下欺诈缓解措施 保护网站免遭凭据破解的策略:
-
创建并实施针对基于得分的风险进行调整的响应模型。
以下示例展示了示例响应模型:
- 对于中低得分阈值 (0.0-0.5),使用多重身份验证向最终用户验证 通过电子邮件或短信进行身份验证。
- 对于最高分数阈值 (> 0.5),允许最终用户在不影响 任何挑战。
-
为成功验证身份的最终用户结束或中断会话
收到来自 reCAPTCHA 的
credentialsLeaked: true响应 密码泄露检测,并向最终用户发送电子邮件 密码。 -
创建评估时,请确保
expectedAction的值与您在网页上安装基于得分的网站密钥时指定的action的值一致。 如果二者不符,则不允许进行身份验证。
凭据填充
凭据填充是一种自动威胁,攻击者通过大量登录 尝试验证被盗用户名/密码对的有效性。
最小实现
在最终用户需要输入其凭据的所有网页上安装复选框网站密钥。 包括“登录”和“忘记密码”功能。 如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(复选框验证)。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现方式
-
在最终用户需要输入凭据的所有网页上安装基于得分的网站密钥。在
action参数中指定一项操作,例如login或authenticate。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。 - 建议:针对所有身份验证尝试实施 reCAPTCHA 密码泄露检测。 如需了解如何使用密码泄露检测功能,请参阅检测密码泄露和凭据盗用。
- 实现 reCAPTCHA 账号防护工具,以跟踪各次登录的最终用户行为,并接收可能表明账号盗用行为的其他信号。 如需了解如何使用 reCAPTCHA 账号卫士,请参阅检测并防范与账号相关的欺诈活动。
可选:如需屏蔽大量且 reCAPTCHA 得分较低的互动,请将 reCAPTCHA 与 Web 应用防火墙 (WAF) 集成。 例如,您可以使用 reCAPTCHA for WAF 与 Google Cloud Armor 集成。
为所有令牌创建评估,并将
expectedAction设置为与action的值匹配 。 如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并为变成欺诈行为的评估添加注释 以
fraudulent的身份购买或退款。 如需了解如何为评估添加注释,请参阅为评估添加注释。
欺诈缓解策略
实现 reCAPTCHA 后,请使用以下欺诈缓解措施 保护网站免于撞库攻击的策略:
-
创建并实现一个根据得分调整风险的响应模型。
以下示例展示了示例响应模型:
- 对于 reCAPTCHA 得分最低阈值 (0.0),请告知最终用户其密码不正确。
- 对于中等分数阈值 (0.1-0.5),使用多重身份验证向最终用户验证 通过电子邮件或短信进行身份验证。
- 对于最高分数阈值 (> 0.5),允许最终用户在不影响 任何挑战。
-
为成功验证身份的最终用户结束或中断会话
收到来自 reCAPTCHA 的
credentialsLeaked: true响应 密码泄露检测,并向最终用户发送电子邮件 密码。 -
创建评估时,请确保
expectedAction的值与您在action在网页上安装基于得分的网站密钥。 如果二者不符,则不允许进行身份验证。 - 在评估中,如果
accountDefenderAssessment=PROFILE_MATCH,则允许最终用户无需任何验证即可继续操作。
提现
提现是一种自动化威胁,攻击者会利用之前验证过的被盗支付卡获取货币或高价值物品。
最低实现
- 在所有可结账的网页上安装基于得分的网站密钥。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。
- 为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现方式
- 在最终用户输入礼品卡信息的所有页面上安装基于得分的网站密钥。指定一项操作,例如
add_gift_card。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。 为所有令牌创建评估,并将
expectedAction设置为与您在安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并为欺诈交易添加注释。
欺诈防范策略
实现 reCAPTCHA 后,请使用以下欺诈防范策略来保护您的网站免遭套现:
为您网站上的付款工作流安装 reCAPTCHA。了解如何 付款工作流,请参阅保护付款工作流。
实施响应模型并创建评估:
-
创建并实现一个根据得分调整风险的响应模型。
以下示例展示了示例响应模型:
- 对于中低得分阈值 (0.0-0.5),请使用基于情境的风险管理,例如 限制尝试次数,以及阻止超过指定值的购买。
- 对于最高分数阈值 (> 0.5),允许最终用户在不影响 任何挑战。
-
创建评估时,请确保
expectedAction的值与您在网页上安装基于得分的网站密钥时指定的action的值一致。 如果不匹配,则不允许进行身份验证。 请尽可能允许交易在购买时继续进行,但稍后取消交易,以免提醒攻击者。
-
创建账号
创建账号是一种自动威胁,攻击者会创建多个账号 以供后续滥用
最小实现
在最终用户需要输入凭据的所有页面(包括登录和忘记密码功能)上安装复选框网站键。 如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(复选框验证)。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
- 在创建账号的所有网页上安装基于得分的网站密钥。
在
action参数中指定操作,例如register。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。 - 建议:针对所有身份验证尝试实施 reCAPTCHA 密码泄露检测。 如需了解如何使用密码泄露检测功能,请参阅检测密码泄露和凭据泄露。
- 实现 reCAPTCHA 账号卫士,以接收更多表明创建了虚假账号的信号。 如需了解如何使用 reCAPTCHA 账号卫士,请参阅检测和防范与账号相关的欺诈活动。
可选:如需屏蔽大量且 reCAPTCHA 得分较低的互动,请将 reCAPTCHA 与 Web 应用防火墙 (WAF) 集成。 例如,您可以使用 reCAPTCHA for WAF 与 Google Cloud Armor 集成。
为所有令牌创建评估,并将
expectedAction设置为与action的值匹配 。 如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并为欺诈交易添加注释。
欺诈防范策略
实现 reCAPTCHA 后,请使用以下欺诈防范策略来保护您的网站免遭账号创建攻击:
-
创建并实施针对基于得分的风险进行调整的响应模型。
以下示例展示了一个示例响应模型:
- 对于最低 reCAPTCHA 分数阈值 (0.0),请限制账号的操作,直到它经过进一步的欺诈检查。
- 对于中等分数阈值 (0.1-0.5),请通过电子邮件或短信对最终用户进行多重身份验证。
- 对于最高得分阈值(大于 0.5),允许最终用户无需任何质询即可继续操作。
- 为成功验证身份的最终用户结束或中断会话
收到来自 reCAPTCHA 的
credentialsLeaked: true响应 密码泄露检测,并提示用户选择新密码。 -
创建评估时,请确保
expectedAction的值与您在网页上安装基于得分的网站密钥时指定的action的值一致。 如果不匹配,则不允许注册账号或创建账号。 - 在评估结果中,如果
accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION, 限制账号的访问权限,直到可以执行进一步验证。
欺诈性账号和地址变更
攻击者可能会在进行欺诈活动或账号盗用时尝试更改账号详细信息,包括电子邮件地址、电话号码或邮寄地址。
最小实现
在最终用户需要输入其凭据的所有网页上安装复选框网站密钥。 包括“登录”和“忘记密码”功能。 如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(复选框验证)。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
在创建账号的所有网页上安装基于得分的网站密钥。 在
action参数中指定操作,例如change_telephone或change_physicalmail。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。为所有令牌创建评估,并将
expectedAction设置为与您在安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。实现 reCAPTCHA 账号防护工具,以跟踪各次登录的最终用户行为,并接收可能表明账号盗用行为的其他信号。 如需了解如何使用 reCAPTCHA 账号卫士,请参阅检测并防范与账号相关的欺诈活动。
保存所有评估 ID,并为欺诈交易添加注释。
欺诈缓解策略
实现 reCAPTCHA 后,请使用 采取欺诈缓解策略,保护您的网站免受欺诈活动的侵扰 账号和地址更改:
创建并实现一个根据得分调整风险信号的响应模型。
以下示例展示了示例响应模型:
- 对于中低得分阈值 (0.0-0.5),使用多重身份验证向最终用户验证 通过电子邮件或短信进行身份验证。
- 对于最高分数阈值 (> 0.5),允许最终用户在不影响 任何挑战。
创建评估时,请确保
expectedAction的值与您在网页上安装基于得分的网站密钥时指定的action的值一致。 如果不匹配,则不允许更改账号。在知识评测中,如果
accountDefenderAssessment不具备PROFILE_MATCH标签,使用多重身份验证对最终用户进行质询 电子邮件或短信
令牌破解
令牌破解是一种自动威胁,攻击者通过 优惠券编号、代金券代码、折扣令牌。
最低实现
在最终用户需要输入礼品卡信息的所有页面上安装复选框网站密钥。 如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(复选框挑战)。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
在最终用户需要输入礼品卡信息的所有页面上安装基于得分的网站密钥。指定一项操作,例如
gift_card_entry。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。可选:如需阻止高流量和低 reCAPTCHA 得分互动,请将 reCAPTCHA 与 Web 应用防火墙 (WAF) 集成。 例如,您可以将 reCAPTCHA 用于 WAF 和 Google Cloud Armor 集成。
为所有令牌创建评估,并将
expectedAction设置为与您在安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并为转变为欺诈性礼品卡或优惠券的评估添加注释。
欺诈防范策略
实现 reCAPTCHA 后,请使用以下欺诈行为之一 防止网站遭到令牌破解的缓解策略:
配置 Card Management API 以确保 reCAPTCHA 令牌有效 且分数大于阈值。
如果得分没有达到或超过指定的阈值,则不要运行 礼品卡或信用卡授权,或允许最终用户使用 优惠券、礼品卡 如果可能,允许交易在购买时继续,但取消交易 以免受到攻击
创建评估时,请确保您的评估满足以下成功交易的标准:
- 所有已评估的令牌均有效,且得分大于指定阈值。
expectedAction的值与您在网页上安装基于得分的网站密钥时指定的action的值一致。 如需了解如何验证操作,请参阅 验证操作。
如果交易不符合这些条件,则不要运行 礼品卡或信用卡授权,或允许最终用户使用 优惠券或礼品卡。 如果可能,允许交易在购买时继续,但取消交易 以免受到攻击
剥头
囤货是一种自动化威胁,攻击者会通过不公平的方式获取限量供应的优质商品或服务。
最低实现
- 在最终用户需要输入礼品卡信息的所有页面上安装基于得分的网站密钥。在
action参数中指定操作,例如add_to_cart。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。 -
为所有令牌创建评估,并将
expectedAction设置为与action的值匹配 。 如需了解如何创建评估,请参阅创建评估。
最佳实现方式
在最终用户需要输入礼品卡信息的所有页面上安装基于得分的网站密钥。在
action参数中指定操作,例如add_to_cart。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。可选:如需屏蔽大量且 reCAPTCHA 得分较低的互动,请将 reCAPTCHA 与 Web 应用防火墙 (WAF) 集成。 例如,您可以将 reCAPTCHA 用于 WAF 和 Google Cloud Armor 集成。
为所有令牌创建评估,并将
expectedAction设置为与您在安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并为欺诈交易添加注释。
欺诈防范策略
实现 reCAPTCHA 后,请使用以下欺诈防范策略来保护您的网站免遭黄牛党攻击:
创建并实施针对基于得分的风险进行调整的响应模型。
以下示例展示了示例响应模型:
- 对于中低得分阈值 (0.0-0.5),请使用基于情境的风险管理,例如 限制尝试次数,以及阻止超过指定值的购买。
- 对于最高分数阈值 (> 0.5),允许最终用户在不影响 任何挑战。
创建评估时,请确保
expectedAction的值与您在action在网页上安装基于得分的网站密钥。 如果不匹配,请勿 运行礼品卡授权
偏差
偏差是一种自动威胁,攻击者利用重复点击链接、 请求或表单提交来更改某些指标。
最低实现
- 在指标出现偏差的所有网页上安装基于得分的网站密钥。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。
- 为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现方式
在可能出现指标偏差的所有网页上安装基于得分的网站密钥。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。
可选:如需屏蔽大量且 reCAPTCHA 得分较低的互动,请将 reCAPTCHA 与 Web 应用防火墙 (WAF) 集成。 例如,您可以将 reCAPTCHA 用于 WAF 和 Google Cloud Armor 集成。
为所有令牌创建评估,并将
expectedAction设置为与action的值匹配 。 如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并为欺诈交易添加注释。
欺诈防范策略
实现 reCAPTCHA 后,请使用以下欺诈缓解措施 保护网站不受偏差的策略:
创建并实施针对基于得分的风险进行调整的响应模型。
以下示例展示了示例响应模型:
- 对于中低得分阈值 (0.0-0.5),请使用基于情境的风险管理,例如 跟踪用户点击某个广告的次数, 重新加载了页面。使用这些数据来确定是否统计该指标。
- 对于最高分数阈值 (> 0.5),允许最终用户在不影响 任何挑战。
抓取
抄袭是一种自动威胁,攻击者借此收集网站数据或制品 自动创建
最低实现
- 在包含重要信息的所有网页以及常见的最终用户互动网页上安装基于得分的网站密钥。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。
- 为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现方式
在包含重要信息的所有网页以及常见的最终用户互动网页上安装基于得分的网站密钥。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。
可选:如需阻止高流量和低 reCAPTCHA 得分互动,请将 reCAPTCHA 与 Web 应用防火墙 (WAF) 集成。 例如,您可以使用 reCAPTCHA for WAF 与 Google Cloud Armor 集成。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
保存所有评估 ID,并为欺诈交易添加注释。
欺诈缓解策略
实现 reCAPTCHA 后,请使用以下欺诈缓解措施 防止网站抄袭的策略:
- 通过将 reCAPTCHA 与 Web 应用防火墙 (WAF) 集成,可阻止高流量和低 reCAPTCHA 得分互动。 例如,您可以将 reCAPTCHA 用于 WAF 和 Google Cloud Armor 集成
- 如果数据抓取涉及 API,请使用 Apigee Management API 以进一步降低风险
人机识别系统破解
人机识别系统失败是一种自动威胁,攻击者利用自动化技术 尝试分析和确定视觉和/或听觉 CAPTCHA 的答案 测试和相关谜题。
最小实现
在涉及最终用户输入的所有网页上添加基于得分的网站密钥, 账号创建、付款信息或最终用户与 也有可能遭到欺诈在
action参数中指定描述性操作。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。为所有令牌创建评估,并将
expectedAction设置为与您在安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。
最佳实现方式
- 在涉及最终用户输入、账号创建、付款信息或可能存在欺诈风险的最终用户互动的所有页面上安装基于评分的网站键。在
action参数中指定描述性操作。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。 可选:如需屏蔽大量且 reCAPTCHA 得分较低的互动,请将 reCAPTCHA 与 Web 应用防火墙 (WAF) 集成。 例如,您可以使用 reCAPTCHA for WAF 与 Google Cloud Armor 集成。
为所有令牌创建评估,并将
expectedAction设置为与您在安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并将转变为欺诈性购买交易或退款的评估标记为
fraudulent。 如需了解如何为评估添加注解,请参阅为评估添加注解。
欺诈防范策略
实现 reCAPTCHA 后,请使用以下某种欺诈防范策略来保护您的网站免受人机识别系统破解的侵害:
实施响应模型并创建评估:
-
创建并实现一个根据得分调整风险的响应模型。
以下示例展示了示例响应模型:
- 对于中低得分阈值 (0.0-0.5),使用多重身份验证向最终用户验证 通过电子邮件或短信进行身份验证。
- 对于最高分数阈值 (> 0.5),允许最终用户在不影响 任何挑战。
-
创建评估时,请确保
expectedAction的值与您在action在网页上安装基于得分的网站密钥。 如果不匹配,则不允许进行身份验证。
-
如果最终用户使用的网络浏览器停用了 JavaScript,请执行以下操作:
- 屏蔽这些最终用户。
- 通知最终用户,您的网站需要启用 JavaScript 才能继续。
确保实现
grecaptcha.enterprise.ready承诺,以防止最终用户的浏览器阻止加载 Google 的脚本。这表示 reCAPTCHA 已完全加载且未遇到错误。对于仅限网页的 API,我们建议将 reCAPTCHA 令牌或 reCAPTCHA 评估结果传递给后端 API,然后仅在 reCAPTCHA 令牌有效且得分达到阈值值时允许执行 API 操作。这样可以确保 用户在未浏览网站的情况下无法使用 API。