Este documento mostra exemplos de políticas de firewall do reCAPTCHA que podem ser criadas com base na implementação dos recursos do reCAPTCHA WAF.
Exemplo 1: uma política de firewall reCAPTCHA com token de ação
É possível adicionar um token de ação reCAPTCHA para proteger uma ação do usuário, como o login. Para garantir que o cookie do reCAPTCHA seja emitido quando o usuário iniciar a ação de login, integre o script do token de ação do reCAPTCHA na página inicial.
Crie uma política de firewall reCAPTCHA com as seguintes regras:
- O caminho em que a regra precisa ser aplicada. Nesse caso,
login.php. - Se o atributo de nome de ação do token de ação não corresponder à ação protegida do usuário ou se a pontuação for menor ou igual a 0,1, bloqueie o acesso.
gcloud recaptcha firewall-policies create \
--description="example1 policy" \
--path="/login.php" \
--condition="recaptcha.token.action != "login" || recaptcha.score <= 0.1" \
--actions="block"
A ilustração a seguir mostra um fluxo de trabalho que usa o recurso de token de ação do reCAPTCHA e a política de firewall correspondente:
Exemplo 2: uma política de firewall reCAPTCHA com token de sessão
É possível adicionar um token de sessão reCAPTCHA às páginas que um usuário pode acessar. Assim, o cookie é atualizado periodicamente. Isso se aplica a, por exemplo, uma página de finalização de compra. Integre o script do token de sessão do reCAPTCHA para que o cookie reCAPTCHA seja emitido e atualizado no back-end do aplicativo antes que um usuário entre na página de finalização da compra. Na página de finalização da compra, integre o script do token de sessão do reCAPTCHA para que o cookie reCAPTCHA seja emitido e atualizado no back-end do aplicativo para evitar que ele expire.
Crie uma política de firewall reCAPTCHA com a seguinte regra:
- O caminho em que a regra precisa ser aplicada. Nesse caso,
checkout.html. - Se a pontuação for menor ou igual a 0,1, bloqueie o acesso.
gcloud recaptcha firewall-policies create \
--description="example2 policy" \
--path="/checkout.html" \
--condition="recaptcha.score <=0.1" \
--actions="block"
A ilustração a seguir mostra um fluxo de trabalho que usa o recurso de token de sessão do reCAPTCHA e a política de firewall reCAPTCHA correspondente:
Exemplo 3: uma política de firewall reCAPTCHA com página de teste
É possível adicionar o recurso da página de teste do reCAPTCHA quando você quer que o usuário seja redirecionado para uma página intermediária que determina se a solicitação do usuário é potencialmente fraudulenta ou legítima.
Para as páginas que você quer proteger, crie regras de política de firewall do reCAPTCHA para redirecionar o usuário à página de teste:
- Na página protegida, se o token não for válido, redirecione o usuário
para a página de desafio. Nesse caso,
index.html. Se a pontuação for menor ou igual a 0,1, redirecione o usuário para a página de erro.
gcloud recaptcha firewall-policies create \ --description="example3-1 policy" \ --path="/index.html" --condition="!recaptcha.token.valid" --actions="redirect"gcloud recaptcha firewall-policies create \ --description="example3-2 policy" \ --path="/index.html" --condition="recaptcha.score <= 0.1" --actions="substitute { path: /bot_error }"
A ilustração a seguir mostra um fluxo de trabalho que usa o recurso da página de teste do reCAPTCHA e as políticas de firewall do reCAPTCHA correspondentes:
Exemplo 4: uma política de firewall reCAPTCHA com token de ação e página de teste
É possível usar mais de um recurso do reCAPTCHA WAF quando você quer usar diferentes níveis de proteção nas páginas da Web. Por exemplo, é possível usar o recurso de token de ação ou de sessão em uma página para avaliar o tráfego recebido usando as pontuações do reCAPTCHA e usar o recurso de página de teste em uma página em que você quer garantir que o usuário não seja um bot.
É possível adicionar um token de ação reCAPTCHA para proteger uma ação do usuário, como o login. Para garantir que o cookie do reCAPTCHA seja emitido quando o usuário iniciar a ação de login, integre o script do token de ação do reCAPTCHA na página antes da ação de login protegida. Por exemplo, a página inicial. Na página de download, para redirecionar o usuário para a página de teste, use a regra de política de firewall do reCAPTCHA.
Crie uma política de firewall reCAPTCHA com as seguintes regras:
- O caminho em que a regra precisa ser aplicada. Nesse caso,
login.php. - Se o atributo "action name" do token de ação não corresponder à ação
protegida do usuário ou se o tipo de avaliação não for
ACTIONou se a pontuação for menor ou igual a 0, 1, bloqueie o acesso. - Para redirecionar o usuário à página de desafio quando ele quiser fazer o download de conteúdo, adicione uma regra de política de firewall para redirecionar o usuário.
- Se a pontuação for menor ou igual a 0,1 ou se o tipo de avaliação não for
CHALLENGEPAGE, redirecione o usuário para a página de erro.
gcloud recaptcha firewall-policies create --description="example4-1 policy"
--path="/login.php" --condition="recaptcha.token.action != "login" || recaptcha.assessment_type != AssessmentType.ACTION || recaptcha.score <= 0.1" --actions="block"
gcloud recaptcha firewall-policies create --description="example4-2 policy"
--path="/content/example.pdf" --condition="recaptcha.assessment_type != AssessmentType.CHALLENGEPAGE" --actions="redirect"
gcloud recaptcha firewall-policies create --description="example4-3 policy"
--path="/content/example.pdf" --condition="recaptcha.score <= 0.1 || recaptcha.assessment_type != AssessmentType.CHALLENGEPAGE" --actions="substitute { path: /bot_error }"
A ilustração a seguir mostra um fluxo de trabalho que usa recursos da página de teste e um token de ação reCAPTCHA, além das políticas de firewall do reCAPTCHA correspondentes:
Exemplo 5: uma política de firewall reCAPTCHA com proteção expressa do WAF e página de teste
É possível adicionar o recurso de proteção expressa do reCAPTCHA WAF quando você quer avaliar a interação do usuário sem atrito e, em seguida, redirecionar os usuários para a página de desafio se a pontuação for baixa. Por exemplo, para evitar o scraping de dados, você quer bloquear o tráfego para uma página de catálogo.
Crie uma política de firewall reCAPTCHA com a seguinte regra:
- O caminho em que a regra precisa ser aplicada.
- Se a pontuação for menor ou igual a 0,3, redirecione o usuário para a página de desafio.
O exemplo a seguir cria uma política de firewall do reCAPTCHA para redirecionar a segmentação de tráfego para /catalog1/itemlist.html quando a pontuação for menor que 0,3.
gcloud recaptcha firewall-policies create \
--description="example5 policy" \
--path="/catalog1/itemlist.html" \
--condition="recaptcha.score <= 3" \
--actions="redirect"