Neste documento, mostramos exemplos de políticas de firewall reCAPTCHA que podem ser criadas com base na implementação dos recursos do reCAPTCHA WAF.
Exemplo 1: uma política de firewall reCAPTCHA com token de ação
É possível adicionar um token de ação reCAPTCHA para proteger uma ação do usuário, como um login. Para garantir que o cookie reCAPTCHA seja emitido quando o usuário iniciar a ação de login, integre o script do token de ação reCAPTCHA à página inicial.
Crie uma política de firewall reCAPTCHA com as seguintes regras:
- O caminho em que a regra precisa ser aplicada. Nesse caso,
login.php. - Se o atributo de nome de ação do token de ação não corresponder à ação do usuário que está protegida ou se a pontuação for menor ou igual a 0,1, bloqueie o acesso.
gcloud recaptcha firewall-policies create \
--description="example1 policy" \
--path="/login.php" \
--condition="recaptcha.token.action != "login" || recaptcha.score <= 0.1" \
--actions="block"
A ilustração a seguir mostra um fluxo de trabalho que usa o recurso de token de ação reCAPTCHA e a política de firewall correspondente correspondente:
Exemplo 2: uma política de firewall reCAPTCHA com token de sessão
É possível adicionar um token de sessão reCAPTCHA às páginas que um usuário pode acessar para que o cookie seja atualizado periodicamente, por exemplo, uma página de finalização da compra. Integre o script do token de sessão reCAPTCHA para que o cookie reCAPTCHA seja emitido e atualizado no back-end do aplicativo antes que o usuário entre na página de finalização da compra. Na página de finalização da compra, integre o script do token de sessão reCAPTCHA para que o cookie reCAPTCHA seja emitido e atualizado no back-end do aplicativo para evitar que o cookie expire.
Crie uma política de firewall reCAPTCHA com a seguinte regra:
- O caminho em que a regra precisa ser aplicada. Nesse caso,
checkout.html. - Se a pontuação for menor ou igual a 0,1, bloqueie o acesso.
gcloud recaptcha firewall-policies create \
--description="example2 policy" \
--path="/checkout.html" \
--condition="recaptcha.score <=0.1" \
--actions="block"
A ilustração a seguir mostra um fluxo de trabalho que usa o recurso de token de sessão reCAPTCHA e a política de firewall correspondente do reCAPTCHA:
Exemplo 3: uma política de firewall reCAPTCHA com página de desafio
Você pode adicionar o recurso de página de desafio reCAPTCHA quando quiser que o usuário seja redirecionado para uma página intersticial em que ele determina se a solicitação do usuário é potencialmente fraudulenta ou legítima.
Para as páginas que você quer proteger, crie regras da política de firewall reCAPTCHA para redirecionar o usuário à página de desafio:
- Para a página protegida, se o token não for válido, redirecione o usuário
para a página de desafio. Nesse caso,
index.html. Se a pontuação for menor ou igual a 0,1, redirecione o usuário para a página de erro.
gcloud recaptcha firewall-policies create \ --description="example3 policy" \ --path="/index.html" --condition="!recaptcha.token.valid" --actions="redirect" \ --path="/index.html" --condition="recaptcha.score <= 0.1" --actions="substitute { path: /bot_error }"
A ilustração a seguir mostra um fluxo de trabalho que usa o recurso da página de desafio e as políticas de firewall correspondentes do reCAPTCHA:
Exemplo 4: uma política de firewall reCAPTCHA com token de ação e página de desafio
Você pode usar mais de um recurso do reCAPTCHA WAF quando quiser usar diferentes níveis de proteção em páginas da Web. Por exemplo, é possível usar o recurso de token de ação ou de sessão em uma página para avaliar o tráfego de entrada usando as pontuações do reCAPTCHA e usar o recurso de página de desafio em uma página em que você quer garantir que o usuário não é um bot.
É possível adicionar um token de ação reCAPTCHA para proteger uma ação do usuário, como um login. Para garantir que o cookie reCAPTCHA seja emitido quando o usuário iniciar a ação de login, integre o script do token de ação reCAPTCHA à página antes da ação de login protegido. Por exemplo, a página inicial. Na página de download, para redirecionar o usuário à página de desafio, use a regra da política de firewall reCAPTCHA.
Crie uma política de firewall reCAPTCHA com as seguintes regras:
- O caminho em que a regra precisa ser aplicada. Nesse caso,
login.php. - Se o atributo de nome de ação do token de ação não corresponder à ação do usuário
que está protegida ou se o tipo de avaliação não for
ACTION, ou se a pontuação for menor ou igual a 0,1, bloqueie o acesso. - Para redirecionar o usuário para a página de desafio quando ele quiser fazer o download do conteúdo, adicione uma regra de política de firewall para redirecionar o usuário.
- Se a pontuação for menor ou igual a 0,1 ou se o tipo de avaliação não for
CHALLENGEPAGE, redirecione o usuário para a página de erro.
gcloud recaptcha firewall-policies create --description="example4 policy"
--path="/login.php" --condition="recaptcha.token.action != "login" || recaptcha.assessment_type != AssessmentType.ACTION || recaptcha.score <= 0.1" --actions="block"
--path="/content/example.pdf" --condition="recaptcha.assessment_type != AssessmentType.CHALLENGEPAGE" --actions="redirect"
--path="/content/example.pdf" --condition="recaptcha.score <= 0.1 || recaptcha.assessment_type != AssessmentType.CHALLENGEPAGE" --actions="substitute { path: /bot_error }"
A ilustração a seguir mostra um fluxo de trabalho que usa o token de ação e os recursos da página de desafio reCAPTCHA, além das políticas de firewall reCAPTCHA correspondentes:
Exemplo 5: uma política de firewall reCAPTCHA com a página de desafio e proteção expressa do WAF
É possível adicionar o recurso de proteção expressa do reCAPTCHA WAF quando você quiser avaliar a interação do usuário sem qualquer atrito e, em seguida, redirecionar os usuários para a página do desafio, se a pontuação for baixa. Por exemplo, para evitar a raspagem de dados, bloqueie o tráfego para uma página de catálogo.
Crie uma política de firewall reCAPTCHA com a seguinte regra:
- O caminho em que a regra precisa ser aplicada.
- Se a pontuação for menor ou igual a 0,3, redirecione o usuário para a página do desafio.
O exemplo a seguir cria uma política de firewall reCAPTCHA para redirecionar a segmentação
de tráfego para /catalog1/itemlist.html quando a pontuação for menor que 0,3.
gcloud recaptcha firewall-policies create \
--description="example5 policy" \
--path="/catalog1/itemlist.html" \
--condition="recaptcha.score <= 3" \
--actions="redirect"