En este documento, se muestra cómo integrar reCAPTCHA para WAF con Google Cloud Armor en sitios web.
Para completar la integración, debes implementar una o más funciones de reCAPTCHA para WAF y configurar las políticas de seguridad de Google Cloud Armor.
Antes de comenzar
Habilita la API de reCAPTCHA Enterprise.
Planifica cómo deseas implementar las funciones de reCAPTCHA para WAF para proteger tu sitio web.
- Elige una o más funciones de WAF que mejor se adapten a tu caso de uso.
- Identifica las páginas que deseas proteger y el tipo de función de WAF. que quieres implementar en esas páginas.
Implementar funciones de reCAPTCHA para WAF
Según tus requisitos, puedes usar una o más funciones de reCAPTCHA para WAF en una sola aplicación.
Si quieres usar más de una función, debes crear una clave de reCAPTCHA. para cada una de esas funciones y usarlas en tu aplicación. Por ejemplo, si tokens de acción de reCAPTCHA y una página de desafío de reCAPTCHA, debes crea una clave de token de acción y una clave de página de desafío, y úsalas en tu y mantener la integridad de su aplicación.
Implementa tokens de acción de reCAPTCHA
Debes tener reCAPTCHA ejecutándose en tus páginas web para generar tokens de acción.
Después de que reCAPTCHA genera un token de acción, debes adjuntarlo a un token de acción
encabezado de solicitud siempre que necesites proteger las acciones del usuario, como checkout
. De forma predeterminada, los tokens de acción son válidos por 30 minutos, pero pueden variar según el tráfico.
Debes adjuntar el token de acción a un encabezado de solicitud predefinido antes de que venza, de modo que Google Cloud Armor pueda evaluar los atributos del token.
Para implementar un token de acción de reCAPTCHA, haz lo siguiente:
Crea una clave de token de acción para tu sitio web.
Consola de Cloud
En la consola de Google Cloud, ve a la página reCAPTCHA.
Verifica que el nombre de tu proyecto aparezca en el selector de recursos en la parte superior de la página.
Si no ves el nombre de tu proyecto, haz clic en el selector de recursos y, luego, selecciona tu proyecto.
- Haz clic en Crear clave.
- En el campo Nombre visible, ingresa un nombre visible para la clave.
- Según la plataforma en la que deseas crear claves de reCAPTCHA para WAF, realiza la acción correspondiente:
- En el menú Choose platform type, selecciona
Sitio web.
Aparecerá la sección Lista de dominios.
-
Ingresa el nombre de dominio para tu sitio web:
- En la sección Lista de dominios, haz clic en Agregar un dominio.
- En el campo Dominio, ingresa el nombre de tu dominio.
Opcional: Para agregar un dominio adicional, haz clic en Agregar un dominio y, luego, ingresa el nombre de otro dominio en el campo Dominio. Puedes agrega hasta un máximo de 250 dominios.
Para los sitios web, la clave reCAPTCHA es única para los dominios y subdominios que especifiques. Puedes especificar más de un dominio si publicas tu sitio web desde varios dominios. Si especificas un dominio (por ejemplo,
examplepetstore.com
), no es necesario que especifiques los subdominios (por ejemplo,subdomain.examplepetstore.com
).
- Expande el firewall de aplicación web (WAF), la verificación del dominio, las páginas de AMP y el desafío.
sección.
- Activa el botón de activación Firewall de aplicación web (WAF).
En el menú Feature, selecciona Action token.
-
Opcional: Activa Usar el desafío de la casilla de verificación.
- Haz clic en Crear clave.
La clave recién creada aparecerá en la página Claves de reCAPTCHA.
gcloud
Para crear claves de reCAPTCHA, usa el comando gcloud recaptcha keys create.
Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:
- DISPLAY_NAME: Es el nombre de la clave. Por lo general, es el nombre de un sitio.
- INTEGRATION_TYPE: Tipo de integración.
Especifica
score
ocheckbox
. - DOMAIN_NAME: Dominios o subdominios de sitios web que tienen permitido el uso
la clave.
Especifica varios dominios en una lista separada por comas. Opcional: Especifica
--allow-all-domains
para inhabilitar la verificación del dominio.Inhabilitar la verificación de dominio es un riesgo de seguridad porque no hay restricciones en el sitio, por lo que cualquier persona puede acceder a tu clave de reCAPTCHA y usarla.
- WAF_FEATURE: Es el nombre de la función de WAF.
Especifica
action-token
. - WAF_SERVICE: Es el nombre del proveedor de servicios de WAF.
Especifica
CA
para Google Cloud Armor.
Ejecuta el comando gcloud recaptcha keys create:
Linux, macOS o Cloud Shell
gcloud recaptcha keys create \ --web \ --display-name=DISPLAY_NAME \ --integration-type=INTEGRATION_TYPE \ --domains=DOMAIN_NAME \ --waf-feature=WAF_FEATURE \ --waf-service=WAF_SERVICE
Windows (PowerShell)
gcloud recaptcha keys create ` --web ` --display-name=DISPLAY_NAME ` --integration-type=INTEGRATION_TYPE ` --domains=DOMAIN_NAME ` --waf-feature=WAF_FEATURE ` --waf-service=WAF_SERVICE
Windows (cmd.exe)
gcloud recaptcha keys create ^ --web ^ --display-name=DISPLAY_NAME ^ --integration-type=INTEGRATION_TYPE ^ --domains=DOMAIN_NAME ^ --waf-feature=WAF_FEATURE ^ --waf-service=WAF_SERVICE
La respuesta contiene la clave de reCAPTCHA recién creada.
REST
Para obtener información de referencia de la API sobre los tipos de clave y los tipos de integración, consulta Clave y el Tipo de integración.Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
- DISPLAY_NAME: Es el nombre de la clave. Por lo general, es el nombre de un sitio.
- INTEGRATION_TYPE: Tipo de integración.
Especifica
score
ocheckbox
. - DOMAIN_NAME: Dominios o subdominios de sitios web que tienen permitido el uso
la clave.
Especifica varios dominios en una lista separada por comas. Opcional: Especifica
--allow-all-domains
para inhabilitar la verificación del dominio.Inhabilitar la verificación de dominio es un riesgo de seguridad porque no hay restricciones en el sitio, por lo que cualquier persona puede acceder a tu clave de reCAPTCHA y usarla.
- WAF_FEATURE: Es el nombre de la función de WAF.
Especifica
action-token
. - WAF_SERVICE: Es el nombre del proveedor de servicios de WAF.
Especifica
CA
para Google Cloud Armor.
Método HTTP y URL:
POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys
Cuerpo JSON de la solicitud:
{ "displayName": "DISPLAY_NAME", 'wafSettings': " { "wafService": "WAF_SERVICE", "wafFeature": "WAF_FEATURE" } "webSettings": { "allowedDomains": "DOMAINS", "integrationType": "TYPE_OF_INTEGRATION" } }
Para enviar tu solicitud, elige una de estas opciones:
curl
Guarda el cuerpo de la solicitud en un archivo llamado
request.json
y ejecuta el siguiente comando:curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"PowerShell
Guarda el cuerpo de la solicitud en un archivo llamado
request.json
y ejecuta el siguiente comando:$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand ContentDeberías recibir una respuesta JSON similar a la que se muestra a continuación:
{ "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m", "displayName": "DISPLAY_NAME, "webSettings": { "allowAllDomains": true, "allowedDomains": [ "localhost" ], "integrationType": "SCORE", }, "wafSettings": { "wafService": "CA", "wafFeature": "ACTION_TOKEN" } }
Integra el código JavaScript de reCAPTCHA en tus páginas web con la clave de token de acción que creaste. Para obtener instrucciones, consulta el documento que corresponde al tipo de integración de tu clave de token de acción.
- Para el tipo de integración
SCORE
, consulta Integra claves basadas en puntuaciones con el frontend. - Para el tipo de integración
CHECKBOX
, consulta Cómo renderizar el widget de reCAPTCHA en el frontend.
- Para el tipo de integración
Después de recibir el token de reCAPTCHA, adjúntalo a un encabezado de solicitud predefinido en el siguiente formato:
X-Recaptcha-Token: value-of-your-action-token
Puedes usar lenguajes como XHR, Ajax o la API de Fetch para adjuntar el token. a un encabezado de solicitud predefinido.
En la siguiente secuencia de comandos de ejemplo, se muestra cómo proteger la acción
execute
y adjuntar el token a un encabezado de solicitud predefinido con JavaScript y XHR:<script> src="https://www.google.com/recaptcha/enterprise.js?render=ACTION_TOKEN_KEY"></script> <script> function onSuccess(action_token) { const xhr = new XMLHttpRequest(); xhr.open('GET','YOUR_URL', false); // Attach the action-token to the predefined request header xhr.setRequestHeader("X-Recaptcha-Token", action_token); xhr.send(null); } function onError(reason) { alert('Response promise rejected: ' + reason); grecaptcha.enterprise.ready(function () { document.getElementById("execute-button").onclick = () => { grecaptcha.enterprise.execute('ACTION_TOKEN_KEY', { }).then(onSuccess, onError); }; }); } </script>
Implementa tokens de sesión de reCAPTCHA
El código JavaScript de reCAPTCHA establece un token de sesión de reCAPTCHA como una cookie en el navegador del usuario final después de la evaluación. El navegador del usuario final adjunta el cookie y la actualiza, siempre y cuando JavaScript de reCAPTCHA permanece activo.
Para proporcionar un token de sesión como una cookie, instala una clave de token de sesión en al menos una de tus páginas web que cumpla con los con los siguientes requisitos:
- La página web debe ser la página que el usuario final explora antes de la página que y qué debe protegerse. Por ejemplo, si quieres proteger la página de confirmación de la compra, instala una clave de token de sesión en la página principal o en la página del producto.
- La página web está protegida por una política de seguridad de Google Cloud Armor.
Puedes usar esta cookie para proteger las solicitudes posteriores del usuario final y las cargas de página en un dominio específico. Los tokens de sesión son válidos durante 30 minutos de forma predeterminada. Sin embargo, si el usuario final permanece en la página en la que implementaste el token de sesión, reCAPTCHA lo actualiza periódicamente para evitar que venza.
Instala tokens de sesión en cada página que deba estar protegida por reCAPTCHA. Te recomendamos que protejas todas las páginas con reCAPTCHA y que uses las reglas de Google Cloud Armor para aplicar el acceso en todas las páginas, excepto en la primera que los usuarios finales exploren.
El siguiente es un token de sesión de reCAPTCHA de muestra:recaptcha-ca-t=value-of-your-session-token;domain=domain;expires=expiration_time
Para implementar un token de sesión de reCAPTCHA, haz lo siguiente:
Crea una clave de token de sesión para tu sitio web.
Consola de Cloud
En la consola de Google Cloud, ve a la página reCAPTCHA.
Verifica que el nombre de tu proyecto aparezca en el selector de recursos en la parte superior de la página.
Si no ves el nombre de tu proyecto, haz clic en el selector de recursos y, luego, selecciona tu proyecto.
- Haz clic en Crear clave.
- En el campo Nombre visible, ingresa un nombre visible para la clave.
- Según la plataforma en la que deseas crear claves de reCAPTCHA para WAF, realiza la acción correspondiente:
- En el menú Choose platform type, selecciona
Sitio web.
Aparecerá la sección Lista de dominios.
-
Ingresa el nombre de dominio para tu sitio web:
- En la sección Lista de dominios, haz clic en Agregar un dominio.
- En el campo Dominio, ingresa el nombre de tu dominio.
Opcional: Para agregar un dominio adicional, haz clic en Agregar un dominio y, luego, ingresa el nombre de otro dominio en el campo Dominio. Puedes agrega hasta un máximo de 250 dominios.
Para los sitios web, la clave reCAPTCHA es única para los dominios y subdominios que especifiques. Puedes especificar más de un dominio si publicas tu sitio web desde varios dominios. Si especificas un dominio (por ejemplo,
examplepetstore.com
), no es necesario que especifiques los subdominios (por ejemplo,subdomain.examplepetstore.com
).
- Expande el firewall de aplicación web (WAF), la verificación del dominio, las páginas de AMP y el desafío.
sección.
- Activa el botón de activación Firewall de aplicación web (WAF).
En el menú Feature, selecciona Session token.
- Opcional: Activa Inhabilitar la verificación del dominio.
Inhabilitar la verificación del dominio es un riesgo de seguridad porque no hay restricciones en el sitio, para que se pueda acceder a tu clave de reCAPTCHA y usarla por cualquier persona.
- Haz clic en Crear clave.
La clave recién creada aparecerá en la página Claves de reCAPTCHA.
gcloud
Para crear claves de reCAPTCHA, usa el comando gcloud recaptcha keys create.
Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:
- DISPLAY_NAME: Es el nombre de la clave. Por lo general, es el nombre de un sitio.
- INTEGRATION_TYPE: Tipo de integración.
Especifica
score
. - DOMAIN_NAME: Son dominios o subdominios de sitios web autorizados para usar la clave.
Especifica varios dominios en una lista separada por comas. Opcional: Especifica
--allow-all-domains
para inhabilitar la verificación del dominio.Inhabilitar la verificación de dominio es un riesgo de seguridad porque no hay restricciones en el sitio, por lo que cualquier persona puede acceder a tu clave de reCAPTCHA y usarla.
- WAF_FEATURE: Es el nombre de la función de WAF.
Especifica
session-token
. - WAF_SERVICE: Es el nombre del proveedor de servicios de WAF.
Especifica
CA
para Google Cloud Armor.
Ejecuta el crea claves de recaptcha de gcloud :
Linux, macOS o Cloud Shell
gcloud recaptcha keys create \ --web \ --display-name=DISPLAY_NAME \ --integration-type=INTEGRATION_TYPE \ --domains=DOMAIN_NAME \ --waf-feature=WAF_FEATURE \ --waf-service=WAF_SERVICE
Windows (PowerShell)
gcloud recaptcha keys create ` --web ` --display-name=DISPLAY_NAME ` --integration-type=INTEGRATION_TYPE ` --domains=DOMAIN_NAME ` --waf-feature=WAF_FEATURE ` --waf-service=WAF_SERVICE
Windows (cmd.exe)
gcloud recaptcha keys create ^ --web ^ --display-name=DISPLAY_NAME ^ --integration-type=INTEGRATION_TYPE ^ --domains=DOMAIN_NAME ^ --waf-feature=WAF_FEATURE ^ --waf-service=WAF_SERVICE
La respuesta contiene la clave de reCAPTCHA recién creada.
REST
Para obtener información de referencia de la API sobre los tipos de claves y los tipos de integración, consulta Clave y Tipo de integración.Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
- DISPLAY_NAME: Es el nombre de la clave. Por lo general, es el nombre de un sitio.
- INTEGRATION_TYPE: Tipo de integración.
Especifica
score
. - DOMAIN_NAME: Son dominios o subdominios de sitios web autorizados para usar la clave.
Especifica varios dominios en una lista separada por comas. Opcional: Especifica
--allow-all-domains
para inhabilitar la verificación del dominio.Inhabilitar la verificación de dominio es un riesgo de seguridad porque no hay restricciones en el sitio, por lo que cualquier persona puede acceder a tu clave de reCAPTCHA y usarla.
- WAF_FEATURE: Es el nombre de la función de WAF.
Especifica
session-token
. - WAF_SERVICE: Es el nombre del proveedor de servicios de WAF.
Especifica
CA
para Google Cloud Armor.
Método HTTP y URL:
POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys
Cuerpo JSON de la solicitud:
{ "displayName": "DISPLAY_NAME", 'wafSettings': " { "wafService": "WAF_SERVICE", "wafFeature": "WAF_FEATURE" } "webSettings": { "allowedDomains": "DOMAINS", "integrationType": "TYPE_OF_INTEGRATION" } }
Para enviar tu solicitud, elige una de estas opciones:
curl
Guarda el cuerpo de la solicitud en un archivo llamado
request.json
y ejecuta el siguiente comando:curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"PowerShell
Guarda el cuerpo de la solicitud en un archivo llamado
request.json
y ejecuta el siguiente comando:$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand ContentDeberías recibir una respuesta JSON similar a la que se muestra a continuación:
{ "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m", "displayName": "DISPLAY_NAME, "webSettings": { "allowAllDomains": true, "allowedDomains": [ "localhost" ], "integrationType": "SCORE", }, "wafSettings": { "wafService": "CA", "wafFeature": "SESSION_TOKEN" } }
Agrega la clave de token de sesión y
waf=session
al código JavaScript de reCAPTCHA.En la siguiente secuencia de comandos de ejemplo, se muestra cómo implementar un token de sesión en una página web:
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>reCAPTCHA WAF Session Token</title> <script src="https://www.google.com/recaptcha/enterprise.js?render=SESSION_TOKEN_KEY&waf=session" async defer></script> <body></body> </head> </html>
Implementa una página de desafío de reCAPTCHA
Cuando implementas una página de desafío de reCAPTCHA, reCAPTCHA redirecciona a una página intersticial en la que se determina si es necesario mostrarle un desafío de CAPTCHA a un usuario. Por lo tanto, es posible que los desafíos de la CAPTCHA visibles para todos los usuarios.
Para implementar una página de desafío de reCAPTCHA, crea una clave de página de desafío para tu sitio web.
Consola de Cloud
En la consola de Google Cloud, ve a la página reCAPTCHA.
Verifica que el nombre de tu proyecto aparezca en el selector de recursos en la parte superior de la página.
Si no ves el nombre de tu proyecto, haz clic en el selector de recursos y, luego, selecciona tu proyecto.
- Haz clic en Crear clave.
- En el campo Nombre visible, ingresa un nombre visible para la clave.
- Según la plataforma en la que deseas crear claves de reCAPTCHA para WAF, realiza la acción correspondiente:
- En el menú Elegir tipo de plataforma, selecciona Sitio web.
- Expande el firewall de aplicación web (WAF), la verificación del dominio, las páginas de AMP y el desafío.
sección.
- Habilita el botón de activación Firewall de aplicación web (WAF).
En el menú Feature, selecciona Challenge page.
- Activa Inhabilitar la verificación del dominio.
Cuando inhabilitas la verificación del dominio para las claves de la página de desafío, Google Cloud Armor verifica el dominio.
- Haz clic en Crear clave.
La clave recién creada aparecerá en la página Claves de reCAPTCHA.
gcloud
Para crear claves de reCAPTCHA, usa el comando gcloud recaptcha keys create.
Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:
- DISPLAY_NAME: Es el nombre de la clave. Por lo general, es el nombre de un sitio.
- INTEGRATION_TYPE: Tipo de integración.
Especifica
invisible
. - DOMAIN_NAME: Son dominios o subdominios de sitios web autorizados para usar la clave.
Especifica
--allow-all-domains
. - WAF_FEATURE: Es el nombre de la función de WAF.
Especifica
challenge-page
. - WAF_SERVICE: Nombre del
Proveedor de servicios de WAF.
Especifica
CA
para Google Cloud Armor.
Ejecuta el crea claves de recaptcha de gcloud :
Linux, macOS o Cloud Shell
gcloud recaptcha keys create \ --web \ --display-name=DISPLAY_NAME \ --integration-type=INTEGRATION_TYPE \ --domains=DOMAIN_NAME \ --waf-feature=WAF_FEATURE \ --waf-service=WAF_SERVICE
Windows (PowerShell)
gcloud recaptcha keys create ` --web ` --display-name=DISPLAY_NAME ` --integration-type=INTEGRATION_TYPE ` --domains=DOMAIN_NAME ` --waf-feature=WAF_FEATURE ` --waf-service=WAF_SERVICE
Windows (cmd.exe)
gcloud recaptcha keys create ^ --web ^ --display-name=DISPLAY_NAME ^ --integration-type=INTEGRATION_TYPE ^ --domains=DOMAIN_NAME ^ --waf-feature=WAF_FEATURE ^ --waf-service=WAF_SERVICE
La respuesta contiene la clave de reCAPTCHA recién creada.
REST
Para obtener información de referencia de la API sobre los tipos de clave y los tipos de integración, consulta Clave y el Tipo de integración.Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
- DISPLAY_NAME: Es el nombre de la clave. Por lo general, es el nombre de un sitio.
- INTEGRATION_TYPE: Tipo de integración.
Especifica
invisible
. - DOMAIN_NAME: Son dominios o subdominios de sitios web autorizados para usar la clave.
Especifica
--allow-all-domains
. - WAF_FEATURE: Es el nombre de la función de WAF.
Especifica
challenge-page
. - WAF_SERVICE: Nombre del
Proveedor de servicios de WAF.
Especifica
CA
para Google Cloud Armor.
Método HTTP y URL:
POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys
Cuerpo JSON de la solicitud:
{ "displayName": "DISPLAY_NAME", 'wafSettings': " { "wafService": "WAF_SERVICE", "wafFeature": "WAF_FEATURE" } "webSettings": { "allowedDomains": "DOMAINS", "integrationType": "TYPE_OF_INTEGRATION" } }
Para enviar tu solicitud, elige una de estas opciones:
curl
Guarda el cuerpo de la solicitud en un archivo llamado request.json
y ejecuta el siguiente comando:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"
PowerShell
Guarda el cuerpo de la solicitud en un archivo llamado request.json
y ejecuta el siguiente comando:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content
Deberías recibir una respuesta JSON similar a la que se muestra a continuación:
{ "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m", "displayName": "DISPLAY_NAME, "webSettings": { "allowAllDomains": true, "allowedDomains": [ "localhost" ], "integrationType": "INVISIBLE", }, "wafSettings": { "wafService": "CA", "wafFeature": "CHALLENGE_PAGE" } }
Configura las políticas de seguridad de Google Cloud Armor
Después de implementar las funciones de reCAPTCHA para WAF, debes configurar las políticas de seguridad de Google Cloud Armor para la administración de bots.
Si implementaste una página de desafío de reCAPTCHA, debes hacer lo siguiente:
- Asocia la clave de la página de desafío a tu política de seguridad.
- Configura una regla de la política de seguridad para redireccionar una solicitud a reCAPTCHA la evaluación del rendimiento.
Si implementaste tokens de acción o tokens de sesión de reCAPTCHA, debes configurar una regla de política de seguridad que evalúe tokens de reCAPTCHA.
Antes de configurar las políticas de seguridad de Google Cloud Armor, comprende el Atributos del token de reCAPTCHA para Google Cloud Armor.
Para aprender a configurar las políticas de seguridad de Google Cloud Armor y usar la las claves reCAPTCHA para WAF con tus políticas de seguridad, consulta Configura reglas para la administración de bots.
¿Qué sigue?
- Ejemplos de integración con Google Cloud Armor.
- Aprende a hacer lo siguiente: Implementar funciones de reCAPTCHA WAF con Google Cloud Armor.