CAPTCHA また、Challenge アクションの動作 - AWS WAF, AWS Firewall Managerおよび AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CAPTCHA また、Challenge アクションの動作

このセクションでは、CAPTCHA また、Challenge アクションを実行します。

ウェブリクエストが でルールの検査基準に一致する場合 CAPTCHA または Challenge アクション、 AWS WAF は、トークンの状態とイミュニティ時間の設定に従ってリクエストを処理する方法を決定します。 AWS WAF は、リクエストがCAPTCHAパズルスクリプトまたはチャレンジスクリプトのインタースティシャルを処理できるかどうかも考慮します。スクリプトはHTMLコンテンツとして処理されるように設計されており、HTMLコンテンツを想定しているクライアントでのみ適切に処理できます。

注記

を使用する場合、追加料金が請求されます。CAPTCHA または Challenge ルールのいずれかのルールアクション、またはルールグループのルールアクションオーバーライドとしての ルールアクション。詳細については、「」を参照してくださいAWS WAF 料金

アクションがウェブリクエストを処理する方法

AWS WAF は を適用します。CAPTCHA または Challenge 次のようにウェブリクエストに対する アクション。

  • 有効なトークン – AWS WAF はこれを と同様に処理します。Count アクション。 AWS WAF は、ルールアクション用に設定したラベルとリクエストのカスタマイズを適用し、ウェブ の残りのルールを使用してリクエストの評価を続行しますACL。

  • トークンが見つからない、無効、または期限切れ – AWS WAF はリクエストのウェブACL評価を中止し、意図した送信先への送信をブロックします。

    AWS WAF は、ルールアクションタイプに従って、クライアントに送り返すレスポンスを生成します。

    • Challenge – AWS WAF はレスポンスに以下を含めます。

      • 値が challenge のヘッダー x-amzn-waf-action

        注記

        このヘッダーは、クライアントブラウザで実行される JavaScript アプリケーションでは使用できません。詳細については、次のセクションを参照してください。

      • HTTP ステータスコード 202 Request Accepted

      • リクエストに の値を持つ Acceptヘッダーが含まれている場合text/html、レスポンスにはチャレンジスクリプトを含むJavaScript ページインタースティシャルが含まれます。

    • CAPTCHA – AWS WAF はレスポンスに以下を含めます。

      • 値が captcha のヘッダー x-amzn-waf-action

        注記

        このヘッダーは、クライアントブラウザで実行される JavaScript アプリケーションでは使用できません。詳細については、次のセクションを参照してください。

      • HTTP ステータスコード 405 Method Not Allowed

      • リクエストに の値を持つ Acceptヘッダーが含まれている場合text/html、レスポンスにはCAPTCHAスクリプトを含むJavaScript ページインタースティシャルが含まれます。

ウェブレベルACLまたはルールレベルでトークンの有効期限のタイミングを設定するには、「」を参照してくださいでのタイムスタンプの有効期限とトークンのイミュニティ時間の設定 AWS WAF

ヘッダーは、クライアントブラウザで実行される JavaScript アプリケーションでは使用できません

メトリック AWS WAF は、クライアントリクエストに CAPTCHAまたは チャレンジレスポンスで応答します。クロスオリジンリソース共有 (CORS) ヘッダーは含まれません。CORS ヘッダーは、アプリケーションで使用できるドメイン、HTTPメソッド、ヘッダーをクライアントウェブブラウザに伝えるアクセスコントロールHTTPヘッダーのセットです JavaScript。CORS ヘッダーがない場合、クライアントブラウザで実行されている JavaScript アプリケーションにはHTTPヘッダーへのアクセスが許可されないため、 で提供されているx-amzn-waf-actionヘッダーを読み取ることができません。CAPTCHA また、Challenge レスポンス。

チャレンジとCAPTCHAインタースティシャルの動作

チャレンジインタースティシャルが実行されると、クライアントが応答に成功した後、まだトークンがない場合、インタースティシャルがトークンを初期化します。その後、チャレンジ解決のタイムスタンプでトークンを更新します。

CAPTCHA インタースティシャルが実行されると、クライアントにまだトークンがない場合、CAPTCHAインタースティシャルは最初にチャレンジスクリプトを呼び出してブラウザにチャレンジし、トークンを初期化します。次に、インタースティシャルはCAPTCHAパズルを実行します。エンドユーザーがパズルを正常に完了すると、インタースティシャルはトークンをCAPTCHAソルブタイムスタンプで更新します。

いずれの場合も、クライアントが応答に成功してスクリプトがトークンを更新した後、スクリプトは更新されたトークンを使用して元のウェブリクエストを再送信します。

設定方法 AWS WAF はトークンを処理します。詳細については、でのウェブリクエストでのトークンの使用 AWS WAF を参照してください。