常見問題

瞭解使用 reCAPTCHA 時可能遇到的常見問題或疑問。

導入作業

我可以在全球使用 reCAPTCHA 嗎?

可以,當使用者無法存取 www.google.com 時,您可以在前端程式碼中使用 www.recaptcha.net

  • 首先,請將 <script src="https://www.google.com/recaptcha/enterprise.js?render=<SITE_KEY>"></script> 替換為 <script src="https://www.recaptcha.net/recaptcha/enterprise.js?render=<SITE_KEY>"></script>,並將 <SITE_KEY> 換成您的網站金鑰。
  • 接著,將相同邏輯套用至網站上使用 www.google.com/recaptcha/ 的其他位置。

reCAPTCHA 會使用 Cookie 嗎?

執行 reCAPTCHA 時,系統會設定必要的 Cookie (_GRECAPTCHA),以提供風險分析。如果您不想使用可能已設定其他 Cookie 的 www.google.com 網域,可以改用 www.recaptcha.net

我想隱藏 reCAPTCHA 徽章,允許的做法

只要在使用者流程中清楚標示網站使用 reCAPTCHA 保護,且「須遵守 Google 服務條款和隱私權政策」,即可隱藏徽章。請加入下列文字:

This site is protected by reCAPTCHA and the Google
<a href="https://policies.google.com/privacy">Privacy Policy</a> and
<a href="https://policies.google.com/terms">Terms of Service</a> apply.

例如:

《隱私權政策》和《服務條款》連結範例

自 2026 年 4 月 2 日起,reCAPTCHA 將從資料控管者轉為資料處理者。你還是可以隱藏徽章,但必須移除所有提及 Google 服務條款和隱私權政策的內容,因為這些內容不再適用。

我可以自訂 reCAPTCHA 小工具或徽章嗎?

可以。reCAPTCHA 提供淺色和深色主題。如要選擇主題,請在 grecaptcha.enterprise.render 參數中設定 data-theme 屬性。

  • 淺色主題:
    淺色主題的 reCAPTCHA 小工具或徽章

  • 深色主題:
    深色主題中的 reCAPTCHA 小工具或徽章

我在網站上使用內容安全政策 (CSP)。如何設定與 reCAPTCHA 搭配使用?

建議您使用 CSP3 說明文件中記載的方法。請務必在 reCAPTCHA api.js 腳本標記中加入只能使用一次的號碼,其餘作業則交由我們處理。

或者,在指令中加入下列值:

  • script-src https://www.google.com/recaptcha/、https://www.gstatic.com/recaptcha/
  • frame-src https://www.google.com/recaptcha/、https://recaptcha.google.com/recaptcha/
  • connect-src https://www.google.com/recaptcha/

在 Google Cloud 控制台的「驗證網域」清單中,我可以新增多少網域?

每個金鑰最多只能有 250 個網域。

如要在超過 250 個網域上使用金鑰,請參閱「為網站建立金鑰」。

我使用第三方外掛程式實作,但該外掛程式正式支援的只有舊版 reCAPTCHA API siteverify,而非 reCAPTCHA 的 Cloud API。我還能使用 reCAPTCHA 嗎?

可以,舊版私密金鑰可在 Google Cloud 控制台中取得。如要瞭解如何找出舊版密鑰,請參閱「找出舊版 reCAPTCHA 密鑰」。

在偵錯網站時,如何避免逐步執行 reCAPTCHA 程式碼?

如要在偵錯網站上的其他 JavaScript 時,避免進入 reCAPTCHA 程式碼,請將 reCAPTCHA 指令碼 /recaptcha__.+\.js$ 新增至瀏覽器的忽略清單。如需 Chrome 的操作說明,請參閱「忽略自訂指令碼清單」。其他瀏覽器也提供類似功能。

為什麼使用者完成挑戰後,頁面會捲動至底部 (僅限 iOS 10)?

我們已向 Apple 回報這個對焦錯誤。 這項問題只會影響 iOS 10 的使用者,且只會發生在部分網站。如果受到影響,請將 reCAPTCHA 小工具移至網頁較高或較低的位置,即可解決問題。

用量

使用 reCAPTCHA 時是否有任何速率限制?

是,請參閱配額與限制

reCAPTCHA 資訊主頁採用哪個時區?我可以變更這項設定嗎?

這個時區是以瀏覽器的用戶端時區為準。這項設定目前無法變更。

如何評估 reCAPTCHA 傳回的分數品質?

最終還是要視您的用途和所需結果而定。一般來說,我們建議您使用自己的使用者行為內部指標,判斷分數是否準確,例如:

  • 使用者重設密碼並獲得高分後,是否回報帳戶遭盜用?
  • 使用者登入時分數偏低,是否會繼續向他人傳送垃圾內容?
  • 使用者登入失敗並獲得低分後,是否嘗試登入多個不同的使用者名稱?

如何查看網站流量的詳細資料?

您可以在Google Cloud 控制台的「reCAPTCHA」reCAPTCHA頁面查看詳細資料。

我想使用 reCAPTCHA 執行自動測試。該怎麼辦?

您可以使用 Google Cloud CLI 建立專為測試設計的 reCAPTCHA 網站金鑰。詳情請參閱「recaptcha keys create reference」頁面中的「--testing-challenge」和「--testing-score」選項。

範例

  • 建立一律傳回「No CAPTCHA」(沒有驗證問題) 和 1.0 的核取方塊網站金鑰 (變更下方的 --domains--display-name)。
gcloud recaptcha keys create --testing-challenge=nocaptcha --testing-score=1.0 --web --domains="domain1.com,domain2.com" --display-name="Always No CAPTCHA" --integration-type=checkbox
  • 建立一律會傳回不需要解題的驗證方法的核取方塊網站金鑰 (請變更下方的 --domains--display-name)。
gcloud recaptcha keys create --testing-score=0.0 --testing-challenge=challenge --web --domains="domain1.com,domain2.com" --display-name="Unsolvable Challenge" --integration-type=checkbox
  • 建立一律會傳回一組分數的分數型網站金鑰 (請變更下方的 --domains--display-name--testing-score)。
gcloud recaptcha keys create --testing-score=1.0 --web --domains="domain1.com,domain2.com" --display-name="Always 1" --integration-type=score

我想與 reCAPTCHA REST API 通訊。我可以假設日後的回應格式不會改變嗎?

隨著產品不斷演進,我們可能會套用非破壞性變更,例如在 API 中新增欄位。如果您使用 JSON,請勿嚴格驗證回應格式,以免日後 API 新增功能時發生不相容問題。

如果想建立舊版 reCAPTCHA 金鑰,有哪些選項?

您無法再建立新的傳統版金鑰。如果您有舊版金鑰,建議您從 reCAPTCHA 舊版遷移。所有 Google Cloud reCAPTCHA 客戶每月都能免費建立 10,000 項評估。如要進一步瞭解用量和定價,請參閱 reCAPTCHA 定價

資料處理

瞭解 reCAPTCHA 資料處理方式

自 2026 年 4 月 2 日起,reCAPTCHA 徽章和客戶網站將移除 Google 隱私權政策和使用條款的參照內容,這會帶來哪些影響?我們有什麼建議?

自 2026 年 4 月 2 日起,reCAPTCHA 徽章將移除《Google 隱私權政策》和《服務條款》的參照內容,以反映客戶的資料控管者角色,以及 Google 的客戶資料處理者角色。雖然這些連結在其他 Google 產品中仍會有效,但我們建議客戶自該日期起主動從自家網站移除這些參照,以確保資訊準確。如有需要,您可以繼續隱藏 reCAPTCHA 徽章

客戶是否擔任資料控管者角色?

就使用者資料而言,reCAPTCHA 客戶向來是資料控管者。不過,Google 認為自己是 reCAPTCHA 服務的獨立資料控管者。改為資料處理者角色後,Google 就無法決定處理客戶資料的目的和方式,因此 reCAPTCHA 客戶應移除《Google 隱私權政策》和《服務條款》的參照內容。自 2026 年 4 月 2 日起,reCAPTCHA 客戶將成為客戶資料的唯一資料控管者,而 Google 只會根據《Google Cloud 服務條款》和《Cloud 資料處理附加條款》處理您的 reCAPTCHA 客戶資料。

reCAPTCHA Cookie (_grecaptcha) 會保留,且不會受到影響。

Google 改為資料處理者後,對 reCAPTCHA 客戶目前的 reCAPTCHA 實作或合約狀態有何影響?

這項異動不會對客戶的 reCAPTCHA 導入作業或與 Google 相關的合約狀態造成影響。不過,我們建議客戶檢查向使用者揭露的隱私權資訊,確保其中涵蓋 reCAPTCHA 執行的處理作業目的,也就是安全、詐欺和濫用行為防範。reCAPTCHA 轉換為資料處理者後,我們將更新《reCAPTCHA 服務專屬條款》,但更新內容主要是移除客戶的義務,例如向使用者顯示 Google 隱私權政策和 Google 服務條款的規定。

身為資料處理者,reCAPTCHA 處理「客戶資料」時有哪些限制?

Google 承諾只會在必要時處理透過 reCAPTCHA 擷取的客戶資料,以提供及維護服務,並確保服務的安全、威脅偵測、防護和回應功能,能有效應對不斷演變的威脅。目前的《reCAPTCHA 服務專屬條款》已納入這項用途限制,而《Cloud 資料處理修訂條款》中我們身為資料處理者的義務,也進一步確立了這項限制。

reCAPTCHA 會收集哪些工作階段資料?Google 如何保護這些資料?

如要瞭解 reCAPTCHA 蒐集的資料,以及 Google 為保護資料採取的措施,請參閱《Cloud 資料處理附加條款》和《reCAPTCHA 服務專屬條款》。

如要進一步瞭解 Google 如何保護資料,請參閱安全性白皮書

reCAPTCHA 是否符合《一般資料保護規則》?

可以,我們支持任何以客戶個人資料安全和隱私為優先考量並推動相關改進措施的計畫,並且會遵守 GDPR 的規定,讓每位 reCAPTCHA 客戶都能安心使用我們提供的服務。 Google Cloud我們在《Cloud 資料處理附加條款》中承諾,會遵守 GDPR,以符合規範的方式處理所有 Google Cloud 服務 (包括 reCAPTCHA) 中的客戶個人資料。

如需 reCAPTCHA 專屬的附加條款,請參閱 reCAPTCHA 服務專屬條款

reCAPTCHA 會收集付款交易資訊嗎?

在付款交易頁面安裝 reCAPTCHA 後,系統會檢查特定交易信號,協助防範自動攻擊。舉例來說,如果每秒有多次以相同價格嘗試購買,在某些情況下可能表示遭到攻擊。

不過,機器人只是整體詐欺問題的一小部分。如要獲得更全面的保護,請整合 reCAPTCHA 詐欺防護,以便傳送更完整的交易資訊,並接收卡片測試和卡片竊取等詐欺行為的評估結果。

手勢驗證

以下各節將說明手勢驗證的資料收集、權限和無障礙功能。

資料收集和儲存

啟用手勢功能後,reCAPTCHA 會收集哪些資料?

  • Google 會分析使用者執行各種動作或手勢時的一或多部手部影片,系統會處理影片,擷取手部地標資料,包括 21 個指關節座標
  • 影片絕不會與使用者身分建立關聯,且會在驗證程序完成後刪除。系統不會錄製音訊。

啟用手勢功能後,reCAPTCHA 會額外儲存哪些資料?

  • Google 不會保留驗證程序不需要的任何手勢圖片或影片,也不會將這些資料用於其他用途。挑戰結束後,系統會自動刪除影片或圖片。
  • Google 會根據《 Google 隱私權政策 》的規定,使用及儲存蒐集到的資訊。

權限

瞭解手勢驗證的攝影機權限。

使用者同意授予相機權限後,Google 或第三方應用程式會取得這項權限?

手勢挑戰需要存取使用者相機的權限。使用者同意執行手勢後,Google 會取得攝影機權限,使用者隨時可以在瀏覽器設定中管理權限。Google 處理手勢影片的唯一目的是進行安全驗證,不會將任何相關資料或權限轉移給第三方。

無障礙問題

瞭解手勢驗證的無障礙功能。

對於有無障礙問題的使用者,手勢如何運作?

對於無法使用手勢驗證身分的無障礙問題使用者,reCAPTCHA 會繼續提供視覺和音訊挑戰,並開發更易於存取且安全的替代挑戰。