本文档介绍了 reCAPTCHA 和欺诈缓解策略的推荐实现,以防范严重的自动化威胁(OWASP 网络应用自动化威胁 (OAT))。企业架构师和技术利益相关者可以查看此信息,以便根据自己的使用情形,就 reCAPTCHA 实现和欺诈缓解策略做出明智的决策。
本文档包含每种威胁类型的以下信息:
以最佳方式实现 reCAPTCHA。此实现方案旨在利用 reCAPTCHA 的相关功能提供最佳欺诈防护。
reCAPTCHA 的最小实现。此实现旨在提供最低限度的欺诈防护。
建议的欺诈缓解策略。
选择最适合您的使用情形的实现和欺诈缓解策略。 以下因素可能会影响您选择的实施和欺诈缓解策略:
- 组织的防欺诈需求和能力。
- 组织的现有环境。
如需详细了解针对您的使用情形的欺诈缓解策略,请与我们的销售团队联系。
梳理
盗卡是一种自动化威胁,攻击者会多次尝试进行付款授权,以验证批量窃取的支付卡数据的有效性。
最低实现
在最终用户需要输入信用卡信息的所有页面上安装复选框网站密钥。 如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(复选框挑战)。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
在最终用户需要输入信用卡信息的所有页面上安装基于得分的网站密钥。在
action参数中指定操作,例如card_entry。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无挑战)。为网站上的付款工作流安装 reCAPTCHA。如需了解如何保护付款工作流,请参阅保护付款工作流。
为所有令牌创建评估,并将
expectedAction设置为与安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并将转化为欺诈性购买交易或退款的评估标记为
fraudulent。 如需了解如何为评估添加注释,请参阅为评估添加注释。
欺诈缓解策略
实现 reCAPTCHA 后,请使用以下任一欺诈缓解策略来保护您的网站免遭盗卡攻击:
为网站上的付款工作流安装 reCAPTCHA。如需了解如何保护付款工作流,请参阅保护付款工作流。
配置卡管理 API,以确保 reCAPTCHA 令牌有效且得分高于其阈值。
如果得分未达到或超过指定阈值,则不运行卡授权,也不允许最终用户使用该卡。 如果可能,请允许交易在购买时继续进行,但稍后取消交易,以免提醒攻击者。
创建评估时,请确保评估符合以下条件,以便顺利完成交易:
- 所有评估的令牌均有效,且得分高于指定阈值。
expectedAction的值与您在网页上安装基于得分的网站密钥时指定的action的值一致。 如需了解如何验证操作,请参阅验证操作。
如果交易不符合这些条件,请勿运行卡授权或允许最终用户使用卡。 如果可能,请允许交易在购买时继续进行,但稍后取消交易,以免提醒攻击者。
盗用信用卡
卡片破解是一种自动化威胁,攻击者通过尝试不同的值来确定被盗支付卡数据的开始日期、到期日期和安全码的缺失值。
最低实现
在最终用户需要输入付款详细信息的所有页面上安装复选框网站密钥,包括结账和添加支付方式功能。 如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(复选框挑战)。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
在最终用户需要输入付款详情的所有页面上安装基于得分的网站密钥。在
action参数中指定操作,例如checkout或add_pmtmethod。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无挑战)。为网站上的付款工作流安装 reCAPTCHA。如需了解如何保护付款工作流,请参阅保护付款工作流。
为所有令牌创建评估,并将
expectedAction设置为与安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并将转化为欺诈性购买交易或退款的评估标记为
fraudulent。 如需了解如何为评估添加注释,请参阅为评估添加注释。
欺诈缓解策略
实现 reCAPTCHA 后,请使用以下任一欺诈缓解策略来保护您的网站免遭盗卡攻击:
为网站上的付款工作流安装 reCAPTCHA。如需了解如何保护付款工作流,请参阅保护付款工作流。
实现响应模型并创建评估:
创建并实现根据基于得分的风险进行调整的响应模型。
以下示例展示了示例回答模型:
- 对于低到中等风险得分阈值 (0.0-0.5),请使用基于情境的风险管理,例如限制尝试次数,以及阻止超过指定价值的购买交易。
- 对于最高得分阈值(> 0.5),允许最终用户在没有任何验证的情况下继续操作。
创建评估时,请确保
expectedAction的值与您在网页上安装基于评分的网站密钥时指定的action的值一致。 如果不匹配,请勿运行卡授权或允许最终用户使用该卡。 如果可能,请允许交易在购买时继续进行,但稍后取消交易,以免提醒攻击者。
凭据破解
凭据破解是一种自动化威胁,攻击者会尝试使用不同的用户名和密码值来识别有效的登录凭据。
最低实现
在最终用户需要输入凭据的所有页面上安装复选框网站密钥,包括登录和忘记了密码功能。如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(复选框挑战)。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
-
在最终用户需要输入凭据的所有页面上安装基于得分的网站密钥。
在
action参数中指定操作,例如login或authenticate。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无挑战)。 - 建议:针对所有身份验证尝试实现 reCAPTCHA 密码防御。 如需了解如何使用密码防御功能,请参阅检测密码泄露和凭据盗用。
- 可选:如需阻止大量互动和 reCAPTCHA 分数较低的互动,请将 reCAPTCHA 与 Web 应用防火墙 (WAF) 集成。 例如,您可以将 reCAPTCHA 与 WAF 和 Google Cloud Armor 集成。
- 实现 reCAPTCHA 账号保护功能,以跟踪最终用户在登录过程中的行为,并接收可能表明存在 ATO 的其他信号。 如需了解如何使用 reCAPTCHA 账号保护程序,请参阅检测并防范与账号相关的欺诈活动。
-
为所有令牌创建评估,并将
expectedAction设置为与安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。 - 保存所有评估 ID,并注释显示为欺诈性行为的评估,例如账号盗用 (ATO) 或任何其他欺诈性活动。 如需了解如何为评估添加注释,请参阅为评估添加注释。
欺诈缓解策略
实现 reCAPTCHA 后,请使用以下欺诈缓解策略来保护您的网站免遭凭据破解:
-
创建并实现根据基于得分的风险进行调整的响应模型。
以下示例展示了示例回答模型:
- 对于低到中等分数阈值 (0.0-0.5),通过电子邮件或短信对最终用户进行多重身份验证。
- 对于最高得分阈值(> 0.5),允许最终用户在没有任何验证的情况下继续操作。
-
对于成功通过身份验证但收到 reCAPTCHA
credentialsLeaked: true响应的最终用户,结束或中断其会话,并向最终用户发送电子邮件,要求其更改密码。 -
创建评估时,请确保
expectedAction的值与您在网页上安装基于评分的网站密钥时指定的action的值一致。 如果二者不符,则不允许进行身份验证。
凭据填充
凭据填充是一种自动化威胁,攻击者会尝试大量登录,以验证窃取的用户名/密码对是否有效。
最低实现
在最终用户需要输入凭据的所有页面上安装复选框网站密钥,包括登录和忘记密码功能。如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(复选框挑战)。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
-
在最终用户需要输入凭据的所有页面上安装基于得分的网站密钥。
在
action参数中指定操作,例如login或authenticate。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无挑战)。 - 建议:针对所有身份验证尝试实现 reCAPTCHA 密码防御。 如需了解如何使用密码防御功能,请参阅检测密码泄露和凭据盗用。
- 实现 reCAPTCHA 账号保护功能,以跟踪最终用户在登录过程中的行为,并接收可能表明存在 ATO 的其他信号。 如需了解如何使用 reCAPTCHA 账号保护程序,请参阅检测并防范与账号相关的欺诈活动。
可选:如需阻止大量互动和 reCAPTCHA 分数较低的互动,请将 reCAPTCHA 与 Web 应用防火墙 (WAF) 集成。 例如,您可以将 reCAPTCHA 与 WAF 和 Google Cloud Armor 集成。
为所有令牌创建评估,并将
expectedAction设置为与安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并将转化为欺诈性购买交易或退款的评估标记为
fraudulent。 如需了解如何为评估添加注释,请参阅为评估添加注释。
欺诈缓解策略
实现 reCAPTCHA 后,请使用以下欺诈缓解策略来保护您的网站免受撞库攻击:
-
创建并实现根据基于得分的风险进行调整的响应模型。
以下示例展示了示例回答模型:
- 对于最低 reCAPTCHA 得分阈值 (0.0),请告知最终用户其密码不正确。
- 对于中等风险得分阈值 (0.1-0.5),通过电子邮件或短信向最终用户发起多重身份验证。
- 对于最高得分阈值(> 0.5),允许最终用户在没有任何验证的情况下继续操作。
-
对于成功通过身份验证但收到 reCAPTCHA
credentialsLeaked: true响应的最终用户,结束或中断其会话,并向最终用户发送电子邮件,要求其更改密码。 -
创建评估时,请确保
expectedAction的值与您在网页上安装基于得分的网站密钥时指定的action的值一致。 如果二者不符,则不允许进行身份验证。 - 在评估中,如果
accountDefenderAssessment=PROFILE_MATCH,则允许最终用户在不进行任何验证的情况下继续操作。
提现
套现是一种自动化威胁,攻击者通过使用被盗的、之前经过验证的支付卡来获取货币或高价值物品。
最低实现
- 在所有可能进行结账的网页上安装基于得分的网站密钥。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无挑战)。
- 为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
- 在最终用户输入礼品卡信息的所有页面上安装基于得分的网站密钥。指定操作,例如
add_gift_card。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无挑战)。 为所有令牌创建评估,并将
expectedAction设置为与安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并为欺诈性交易添加注释。
欺诈缓解策略
实现 reCAPTCHA 后,请使用以下欺诈缓解策略来保护您的网站免遭套现:
为网站上的付款工作流安装 reCAPTCHA。如需了解如何保护付款工作流,请参阅保护付款工作流。
实现响应模型并创建评估:
-
创建并实现根据基于得分的风险进行调整的响应模型。
以下示例展示了示例回答模型:
- 对于低到中等风险得分阈值 (0.0-0.5),请使用基于情境的风险管理,例如限制尝试次数,以及阻止超过指定价值的购买交易。
- 对于最高得分阈值(> 0.5),允许最终用户在没有任何验证的情况下继续操作。
-
创建评估时,请确保
expectedAction的值与您在网页上安装基于评分的网站密钥时指定的action的值一致。 如果二者不符,则不允许进行身份验证。 如果可能,请允许交易在购买时继续进行,但稍后取消交易,以免提醒攻击者。
-
创建账号
账号创建是一种自动化威胁,攻击者会创建多个账号以供后续滥用。
最低实现
在最终用户需要输入凭据的所有页面上安装复选框网站密钥,包括登录和忘记密码功能。如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(复选框挑战)。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
- 在创建账号的所有网页上安装基于得分的网站密钥。
在
action参数中指定操作,例如register。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无挑战)。 - 建议:针对所有身份验证尝试实现 reCAPTCHA 密码防御。 如需了解如何使用密码防御功能,请参阅检测密码泄露和凭据盗用。
- 实现 reCAPTCHA 账号保护程序,以接收指示虚假账号创建的其他信号。 如需了解如何使用 reCAPTCHA 账号保护程序,请参阅检测并防范与账号相关的欺诈活动。
可选:如需阻止大量互动和 reCAPTCHA 分数较低的互动,请将 reCAPTCHA 与 Web 应用防火墙 (WAF) 集成。 例如,您可以将 reCAPTCHA 与 WAF 和 Google Cloud Armor 集成。
为所有令牌创建评估,并将
expectedAction设置为与安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并为欺诈性交易添加注释。
欺诈缓解策略
实现 reCAPTCHA 后,请使用以下欺诈缓解策略来保护您的网站免受账号创建欺诈的侵扰:
-
创建并实现根据基于得分的风险进行调整的响应模型。
以下示例展示了示例回答模型:
- 对于最低 reCAPTCHA 得分阈值 (0.0),限制账号的操作,直到该账号通过进一步的欺诈检查。
- 对于中等风险得分阈值(0.1-0.5),通过电子邮件或短信向最终用户发起多重身份验证。
- 对于最高得分阈值(> 0.5),允许最终用户在没有任何验证的情况下继续操作。
- 对于成功通过身份验证但收到 reCAPTCHA 密码防御功能
credentialsLeaked: true响应的最终用户,结束或中断其会话,并提示用户选择新密码。 -
创建评估时,请确保
expectedAction的值与您在网页上安装基于得分的网站密钥时指定的action的值一致。 如果不匹配,则不允许注册账号或创建账号。 - 在评估中,如果
accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION,则限制相应账号的访问权限,直到可以执行进一步验证为止。
欺诈性账号和地址变更
攻击者可能会尝试更改账号详细信息,包括电子邮件地址、手机号码或邮寄地址,以进行欺诈活动或盗用账号。
最低实现
在最终用户需要输入凭据的所有页面上安装复选框网站密钥,包括登录和忘记密码功能。如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(复选框挑战)。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
在创建账号的所有网页上安装基于得分的网站密钥。 在
action参数中指定操作,例如change_telephone或change_physicalmail。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无挑战)。为所有令牌创建评估,并将
expectedAction设置为与安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。实现 reCAPTCHA 账号保护功能,以跟踪最终用户在登录过程中的行为,并接收可能表明存在 ATO 的其他信号。 如需了解如何使用 reCAPTCHA 账号保护程序,请参阅检测并防范与账号相关的欺诈活动。
保存所有评估 ID,并为欺诈性交易添加注释。
欺诈缓解策略
实施 reCAPTCHA 后,请使用以下欺诈缓解策略来保护您的网站免受欺诈性账号和地址更改的侵扰:
创建并实现根据基于得分的风险进行调整的响应模型。
以下示例展示了示例回答模型:
- 对于低到中等分数阈值 (0.0-0.5),通过电子邮件或短信对最终用户进行多重身份验证。
- 对于最高得分阈值(> 0.5),允许最终用户在没有任何验证的情况下继续操作。
创建评估时,请确保
expectedAction的值与您在网页上安装基于得分的网站密钥时指定的action的值一致。 如果不匹配,请勿允许账号更改。在评估中,如果
accountDefenderAssessment没有PROFILE_MATCH标签,请通过电子邮件或短信对最终用户进行多重身份验证。
令牌破解
令牌破解是一种自动化威胁,攻击者会大量枚举优惠券号码、代金券代码、折扣令牌。
最低实现
在最终用户需要输入礼品卡信息的所有页面上安装复选框网站密钥。 如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(复选框挑战)。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
在最终用户需要输入礼品卡信息的所有页面上安装基于得分的网站密钥。指定操作,例如
gift_card_entry。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无挑战)。可选:如需阻止大量互动和 reCAPTCHA 分数较低的互动,请将 reCAPTCHA 与 Web 应用防火墙 (WAF) 集成。 例如,您可以将 reCAPTCHA 与 WAF 和 Google Cloud Armor 集成。
为所有令牌创建评估,并将
expectedAction设置为与安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并注释转化为欺诈性礼品卡或优惠券的评估。
欺诈缓解策略
实现 reCAPTCHA 后,请使用以下任一欺诈缓解策略来保护您的网站免遭令牌破解:
配置卡管理 API,以确保 reCAPTCHA 令牌有效且得分高于其阈值。
如果得分未达到或超过指定阈值,请勿运行礼品卡或信用卡授权,也不允许最终用户使用优惠券、礼品卡。 如果可能,请允许交易在购买时继续进行,但稍后取消交易,以免提醒攻击者。
创建评估时,请确保评估符合以下条件,以便顺利完成交易:
- 所有评估的令牌均有效,且得分高于指定阈值。
expectedAction的值与您在网页上安装基于得分的网站密钥时指定的action的值一致。 如需了解如何验证操作,请参阅验证操作。
如果交易不符合这些条件,请勿运行礼品卡或信用卡授权,也不要允许最终用户使用优惠券或礼品卡。 如果可能,请允许交易在购买时继续进行,但稍后取消交易,以免提醒攻击者。
黄牛票
抢票是一种自动化威胁,攻击者通过不公平的方法获取数量有限的优先商品或服务。
最低实现
- 在最终用户需要输入礼品卡信息的所有页面上安装基于得分的网站密钥。在
action参数中指定操作,例如add_to_cart。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无挑战)。 -
为所有令牌创建评估,并将
expectedAction设置为与安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。
最佳实现
在最终用户需要输入礼品卡信息的所有页面上安装基于得分的网站密钥。在
action参数中指定操作,例如add_to_cart。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无挑战)。可选:如需阻止大量互动和 reCAPTCHA 分数较低的互动,请将 reCAPTCHA 与 Web 应用防火墙 (WAF) 集成。 例如,您可以将 reCAPTCHA 与 WAF 和 Google Cloud Armor 集成。
为所有令牌创建评估,并将
expectedAction设置为与安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并为欺诈性交易添加注释。
欺诈缓解策略
实现 reCAPTCHA 后,请使用以下欺诈缓解策略来保护您的网站免遭抢票行为的侵扰:
创建并实现根据基于得分的风险进行调整的响应模型。
以下示例展示了示例回答模型:
- 对于低到中等风险得分阈值 (0.0-0.5),请使用基于情境的风险管理,例如限制尝试次数,以及阻止超过指定价值的购买交易。
- 对于最高得分阈值(> 0.5),允许最终用户在没有任何验证的情况下继续操作。
创建评估时,请确保
expectedAction的值与您在网页上安装基于评分的网站密钥时指定的action的值一致。 如果不一致,请勿运行礼品卡授权。
倾斜
倾斜是一种自动化威胁,攻击者会通过重复点击链接、发出网页请求或提交表单来更改某些指标。
最低实现
- 在所有可能出现指标偏差的网页上安装基于得分的网站密钥。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无挑战)。
- 为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
在所有可能出现指标偏差的网页上安装基于得分的网站密钥。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无挑战)。
可选:如需阻止大量互动和 reCAPTCHA 分数较低的互动,请将 reCAPTCHA 与 Web 应用防火墙 (WAF) 集成。 例如,您可以将 reCAPTCHA 与 WAF 和 Google Cloud Armor 集成。
为所有令牌创建评估,并将
expectedAction设置为与安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并为欺诈性交易添加注释。
欺诈缓解策略
实现 reCAPTCHA 后,请使用以下欺诈缓解策略来保护您的网站免受数据倾斜的影响:
创建并实现根据基于得分的风险进行调整的响应模型。
以下示例展示了示例回答模型:
- 对于低到中等风险得分阈值 (0.0-0.5),请使用基于情境的风险管理,例如跟踪用户点击广告的次数或用户重新加载页面的次数。使用此数据来确定是否要统计相应指标。
- 对于最高得分阈值(> 0.5),允许最终用户在没有任何验证的情况下继续操作。
爬取
抓取是一种自动化威胁,攻击者会以自动方式收集网站数据或制品。
最低实现
- 在包含重要信息的所有页面以及关键的常见最终用户互动页面上安装基于得分的网站密钥。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无挑战)。
- 为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
在包含重要信息的所有页面以及关键的常见最终用户互动页面上安装基于得分的网站密钥。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无挑战)。
可选:如需阻止大量互动和 reCAPTCHA 分数较低的互动,请将 reCAPTCHA 与 Web 应用防火墙 (WAF) 集成。 例如,您可以将 reCAPTCHA 与 WAF 和 Google Cloud Armor 集成。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
保存所有评估 ID,并为欺诈性交易添加注释。
欺诈缓解策略
实现 reCAPTCHA 后,请使用以下欺诈缓解策略来保护您的网站免遭抓取:
- 通过将 reCAPTCHA 与 Web 应用防火墙 (WAF) 集成,可以阻止大量互动和 reCAPTCHA 得分较低的互动。 例如,您可以将 reCAPTCHA 与 WAF 和 Google Cloud Armor 集成
- 如果抓取涉及 API,请使用 Apigee Management API 进行额外缓解。
破解人机识别系统
人机识别系统破解是一种自动化威胁,攻击者会使用自动化技术来分析并确定视觉和/或听觉人机识别系统测试及相关谜题的答案。
最低实现
在涉及最终用户输入、账号创建、付款信息或最终用户互动(可能存在欺诈行为)的所有页面上安装基于得分的网站密钥。在
action参数中指定描述性操作。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无挑战)。为所有令牌创建评估,并将
expectedAction设置为与安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。
最佳实现
- 在涉及最终用户输入、账号创建、付款信息或最终用户互动(可能存在欺诈行为)的所有页面上安装基于得分的网站密钥。在
action参数中指定描述性操作。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无挑战)。 可选:如需阻止大量互动和 reCAPTCHA 分数较低的互动,请将 reCAPTCHA 与 Web 应用防火墙 (WAF) 集成。 例如,您可以将 reCAPTCHA 与 WAF 和 Google Cloud Armor 集成。
为所有令牌创建评估,并将
expectedAction设置为与安装基于得分的网站密钥时指定的action值相匹配。 如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并将转化为欺诈性购买交易或退款的评估标记为
fraudulent。 如需了解如何为评估添加注释,请参阅为评估添加注释。
欺诈缓解策略
实现 reCAPTCHA 后,请使用以下任一欺诈缓解策略来保护您的网站免受人机识别系统破解的侵扰:
实现响应模型并创建评估:
-
创建并实现根据基于得分的风险进行调整的响应模型。
以下示例展示了示例回答模型:
- 对于低到中等分数阈值 (0.0-0.5),通过电子邮件或短信对最终用户进行多重身份验证。
- 对于最高得分阈值(> 0.5),允许最终用户在没有任何验证的情况下继续操作。
-
创建评估时,请确保
expectedAction的值与您在网页上安装基于评分的网站密钥时指定的action的值一致。 如果二者不符,则不允许进行身份验证。
-
如果最终用户使用的 Web 浏览器停用了 JavaScript,请执行以下操作:
- 屏蔽这些最终用户。
- 通知最终用户,您的网站需要 JavaScript 才能继续。
确保
grecaptcha.enterprise.ready承诺得到履行,以防止最终用户的浏览器因屏蔽 Google 的脚本而无法加载。这表示 reCAPTCHA 已完全加载,并且未遇到错误。对于仅限 Web 的 API,我们建议将 reCAPTCHA 令牌或 reCAPTCHA 评估结果传递给后端 API,然后仅当 reCAPTCHA 令牌有效且达到得分阈值时才允许执行 API 操作。这样可确保最终用户不会在未访问网站的情况下使用 API。