Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

CAPTCHA and Challenge Handlungsverhalten

PDF
RSS
Fokusmodus
CAPTCHA and Challenge Handlungsverhalten - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

In diesem Abschnitt wird erklärt, was CAPTCHA and Challenge Aktionen bewirken.

Wenn eine Webanfrage den Inspektionskriterien einer Regel entspricht CAPTCHA or Challenge Aktion, AWS WAF bestimmt, wie die Anfrage entsprechend dem Status des Tokens und der Konfiguration der Immunitätszeit behandelt werden soll. AWS WAF berücksichtigt auch, ob die Anfrage das CAPTCHA-Puzzle oder die Interstitials des Challenge-Skripts verarbeiten kann. Die Skripts sind so konzipiert, dass sie als HTML-Inhalt behandelt werden können, und sie können nur von einem Client korrekt verarbeitet werden, der HTML-Inhalt erwartet.

Anmerkung

Ihnen werden zusätzliche Gebühren berechnet, wenn Sie die CAPTCHA or Challenge Regelaktion in einer Ihrer Regeln oder als Überschreibung von Regelaktionen in einer Regelgruppe. Weitere Informationen finden Sie unter AWS WAF -Preisgestaltung.

Wie die Aktion mit der Webanfrage umgeht

AWS WAF wendet das an CAPTCHA or Challenge Aktion auf eine Webanfrage wie folgt:

  • Gültiges Token — AWS WAF behandelt dies ähnlich wie ein Count Aktion. AWS WAF wendet alle Labels an und fordert Anpassungen an, die Sie für die Regelaktion konfiguriert haben, und bewertet dann die Anforderung anhand der verbleibenden Regeln in der Web-ACL weiter.

  • Fehlendes, ungültiges oder abgelaufenes Token — beendet AWS WAF die Web-ACL-Auswertung der Anfrage und verhindert, dass sie an ihr beabsichtigtes Ziel weitergeleitet wird.

    AWS WAF generiert eine Antwort, die entsprechend dem Aktionstyp der Regel an den Client zurückgesendet wird:

    • Challenge— AWS WAF schließt Folgendes in die Antwort ein:

      • Den Header x-amzn-waf-action mit einem Wert von challenge.

        Anmerkung

        Für Javascript-Anwendungen, die im Clientbrowser ausgeführt werden, ist dieser Header nur innerhalb der Domäne der Anwendung verfügbar. Der Header ist nicht für den domänenübergreifenden Abruf verfügbar. Einzelheiten finden Sie im folgenden Abschnitt.

      • Den HTTP-Statuscode 202 Request Accepted.

      • Wenn die Anfrage einen Accept Header mit dem Wert von enthälttext/html, enthält die Antwort ein JavaScript Seiteninterstitial mit einem Challenge-Skript.

    • CAPTCHA— AWS WAF beinhaltet Folgendes in der Antwort:

      • Den Header x-amzn-waf-action mit einem Wert von captcha.

        Anmerkung

        Für Javascript-Anwendungen, die im Clientbrowser ausgeführt werden, ist dieser Header nur innerhalb der Domäne der Anwendung verfügbar. Der Header ist nicht für den domänenübergreifenden Abruf verfügbar. Einzelheiten finden Sie im folgenden Abschnitt.

      • Den HTTP-Statuscode 405 Method Not Allowed.

      • Wenn die Anfrage einen Accept Header mit dem Wert von enthälttext/html, enthält die Antwort ein JavaScript Seiteninterstitial mit einem CAPTCHA-Skript.

Informationen zur Konfiguration des Ablaufs des Tokens auf der Web-ACL- oder Regelebene finden Sie unter. Einstellen der Ablaufzeiten von Zeitstempeln und Token-Immunitätszeiten in AWS WAF

Header sind für JavaScript Anwendungen, die im Clientbrowser ausgeführt werden, nicht verfügbar

Wenn AWS WAF auf eine Client-Anfrage mit einem CAPTCHA oder einer Challenge-Antwort geantwortet wird, sind keine CORS-Header (Cross-Origin Resource Sharing) enthalten. CORS-Header sind eine Reihe von Zugriffskontroll-Headern, die dem Client-Webbrowser mitteilen, welche Domänen, HTTP-Methoden und HTTP-Header von Anwendungen verwendet werden können. JavaScript Ohne CORS-Header erhalten JavaScript Anwendungen, die in einem Clientbrowser ausgeführt werden, keinen Zugriff auf HTTP-Header und sind daher nicht in der Lage, den Header zu lesen, der in der x-amzn-waf-action CAPTCHA and Challenge Antworten.

Was bewirken die Challenge und die CAPTCHA-Interstitials

Wenn ein Challenge-Interstitial ausgeführt wird, nachdem der Client erfolgreich geantwortet hat und er noch kein Token hat, initialisiert das Interstitial eines dafür. Dann aktualisiert es das Token mit dem Zeitstempel für die Problemlösung.

Wenn ein CAPTCHA-Interstitial ausgeführt wird und der Client noch kein Token hat, ruft das CAPTCHA-Interstitial zuerst das Challenge-Skript auf, um den Browser herauszufordern und das Token zu initialisieren. Dann führt das Interstitial sein CAPTCHA-Puzzle aus. Wenn der Endbenutzer das Rätsel erfolgreich gelöst hat, aktualisiert das Interstitial das Token mit dem CAPTCHA-Lösungszeitstempel.

In beiden Fällen sendet das Skript, nachdem der Client erfolgreich geantwortet hat und das Skript das Token aktualisiert hat, die ursprüngliche Webanfrage unter Verwendung des aktualisierten Tokens erneut.

Sie können konfigurieren, wie mit Tokens AWS WAF umgegangen wird. Weitere Informationen finden Sie unter Verwendung von Token bei der AWS WAF intelligenten Bedrohungsabwehr.

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.